Kako je jedan bag mogao omogućiti hakerima da obrišu foto albume korisnika Facebooka

Društvene mreže, 13.02.2015, 08:30 AM

Kako je jedan bag mogao omogućiti hakerima da obrišu foto albume korisnika Facebooka

Svakoga dana na najvećoj društvenoj mreži na svetu objavi se oko 350 miliona fotografija. Facebook ima jednu od najimpresivnijih kolekcija fotografija na internetu. Sve te fotografije mogle su biti obrisane da su informacije o propustu koji je otkrio jedan indijski programer dospele u pogrešne ruke. Srećom, Laxman Muthiyah, programer koji je otkrio ovaj propust, nije pokušao da proda svoje veliko otkriće nekom ko bi to zloupotrebio. Umesto toga, on je svoje otkriće odmah podelio sa Facebookom.

Laxman Muthiyah je otkrio bezbednosni propust u Facebook Graph API mehanizmu koji je mogao omogućiti hakerima da orbišu bilo koji album sa fotografijama na Facebooku i to bez autorizacionog tokena. Bilo koji foto album bilo kog korisnika, stranice ili grupe, zahvaljujući ovom propustu, mogao je lako biti obrisan.

Indijski programer je pronašao način da obriše ne samo svoje foto albume, na kojima je najpre testirao propust, već i albume drugih korisnika i to za samo nekoliko sekundi.

Muthiyah je otkrio da njegov pristupni token generisan za mobilnu verziju Facebooka može biti iskorišćen za brisanje bilo kog albuma sa fotografijama koje je objavio bilo koji korisnik Facebooka.

Da bi obrisao žrtvin album, napadač bi trebalo da pošalje HTTP Graph API zahtev sa ID-jem žrtvinog foto albuma i njegov pristupni token generisan za Facebook za Android aplikaciju.

U teoriji napadač je to mogao da uradi sa samo nekoliko linija koda i telefonom ali u praksi Facebook verovatno ima neke zaštitne mere koje sprečavaju da jedan uređaj nanese toliku štetu. A čak i ako bi napadaču to uspelo, društvena mreža je prevelika tako da bi se verovatno dogodilo to da napadač ne može da obriše albume onom brzinom kojom ih korisnici objavljuju. Ali bot mreža bi već mogla da napravi ozbiljnu štetu.

Muthiyah je o propustu obavestio Facebook u utorak, a kompaniji je trebalo svega dva sata da reši ovaj problem. Muthiyah je za ovo otkriće nagrađen sa 12500 dolara.

“Primili smo izveštaj o problemu sa našim Graph API i brzo ga rešili, dva sata pošto su potvrđene ove tvrdnje”, rekao je portparol Facebooka. On je istakao da bi korišćenje ovog propusta zahtevalo da napadač zna ID foto albuma, kao i da ima dozvolu da vidi album u skladu sa postavkama privatnosti. Ipak, iz kompanije su se zahvalili istraživaču zbog prijavljivanja ovog ozbiljnog propusta i rekli da je on nagrađen u okviru programa za nagrađivanje istraživača koji otkriju bagove.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Facebook želi da koristi slike koje nikada niste objavili za obuku AI modela

Facebook želi da koristi slike koje nikada niste objavili za obuku AI modela

Facebook već godinama koristi javne objave, fotografije i interakcije korisnika za obuku veštačke inteligencije. Kompanija je već iskoristila javn... Dalje

Facebook uvodi passkey – bezbedniji način prijave bez lozinke

Facebook uvodi passkey – bezbedniji način prijave bez lozinke

Facebook je najavio da uvodi passkey (digitalni ključ) kao novi način prijavljivanja na mobilnim uređajima, bez potrebe za klasičnim lozinkama. Ov... Dalje

Zašto sajber kriminalci traže posao na LinkedIn-u

Zašto sajber kriminalci traže posao na LinkedIn-u

Sajber kriminalci iz poznate grupe FIN6 predstavljaju se kao ljudi koji traže posao na platformama poput LinkedIn-a kako bi zarazili poslodavce malve... Dalje

Oglasi za lažne AI video generatore na Facebook-u i LinkedIn-u šire malvere

Oglasi za lažne AI video generatore na Facebook-u i LinkedIn-u šire malvere

Mandiant Threat Defens upozorava korisnike na prevaru iza koje stoji grupa UNC6032 koja na društvenim mrežama postavlja oglase za lažne AI video al... Dalje

TikTok video snimci šire malvere Vidar i StealC

TikTok video snimci šire malvere Vidar i StealC

Sajber kriminalci koriste TikTok video snimke za širenje malvera za krađu informacija Vidar i StealC u ClickFix napadima, upozorava Trend Micro. Re... Dalje