Pratite nas preko RSS-aKako je jedan bag mogao omogućiti hakerima da obrišu foto albume korisnika Facebooka
Društvene mreže, 13.02.2015, 08:30 AM
Svakoga dana na najvećoj društvenoj mreži na svetu objavi se oko 350 miliona fotografija. Facebook ima jednu od najimpresivnijih kolekcija fotografija na internetu. Sve te fotografije mogle su biti obrisane da su informacije o propustu koji je otkrio jedan indijski programer dospele u pogrešne ruke. Srećom, Laxman Muthiyah, programer koji je otkrio ovaj propust, nije pokušao da proda svoje veliko otkriće nekom ko bi to zloupotrebio. Umesto toga, on je svoje otkriće odmah podelio sa Facebookom.
Laxman Muthiyah je otkrio bezbednosni propust u Facebook Graph API mehanizmu koji je mogao omogućiti hakerima da orbišu bilo koji album sa fotografijama na Facebooku i to bez autorizacionog tokena. Bilo koji foto album bilo kog korisnika, stranice ili grupe, zahvaljujući ovom propustu, mogao je lako biti obrisan.
Indijski programer je pronašao način da obriše ne samo svoje foto albume, na kojima je najpre testirao propust, već i albume drugih korisnika i to za samo nekoliko sekundi.
Muthiyah je otkrio da njegov pristupni token generisan za mobilnu verziju Facebooka može biti iskorišćen za brisanje bilo kog albuma sa fotografijama koje je objavio bilo koji korisnik Facebooka.
Da bi obrisao žrtvin album, napadač bi trebalo da pošalje HTTP Graph API zahtev sa ID-jem žrtvinog foto albuma i njegov pristupni token generisan za Facebook za Android aplikaciju.
U teoriji napadač je to mogao da uradi sa samo nekoliko linija koda i telefonom ali u praksi Facebook verovatno ima neke zaštitne mere koje sprečavaju da jedan uređaj nanese toliku štetu. A čak i ako bi napadaču to uspelo, društvena mreža je prevelika tako da bi se verovatno dogodilo to da napadač ne može da obriše albume onom brzinom kojom ih korisnici objavljuju. Ali bot mreža bi već mogla da napravi ozbiljnu štetu.
Muthiyah je o propustu obavestio Facebook u utorak, a kompaniji je trebalo svega dva sata da reši ovaj problem. Muthiyah je za ovo otkriće nagrađen sa 12500 dolara.
“Primili smo izveštaj o problemu sa našim Graph API i brzo ga rešili, dva sata pošto su potvrđene ove tvrdnje”, rekao je portparol Facebooka. On je istakao da bi korišćenje ovog propusta zahtevalo da napadač zna ID foto albuma, kao i da ima dozvolu da vidi album u skladu sa postavkama privatnosti. Ipak, iz kompanije su se zahvalili istraživaču zbog prijavljivanja ovog ozbiljnog propusta i rekli da je on nagrađen u okviru programa za nagrađivanje istraživača koji otkriju bagove.
Izdvojeno
Lažna „Meta Verified“ ekstenzija na Facebooku krade naloge
Istraživači Bitdefendera upozoravaju kreatore sadržaja i vlasnike preduzeća na novu kampanju na platformi Meta (Facebook), gde zlonamerni oglasi n... Dalje
Zbog porasta prevara LinkedIn uvodi strože provere za regrutere, rukovodioce i kompanije
LinkedIn je najavio novi set mera usmerenih na proveru identiteta korisnika i kompanija, sa ciljem da profesionalno umrežavanje učini sigurnijim. Ko... Dalje
Grokking: Kako prevaranti zloupotrebljavaju X-ov AI Grok za širenje malicioznih linkova
.jpg)
Istraživači iz Guardio Labsa otkrili su novu tehniku zloupotrebe Groka, AI asistenta na društvenoj mreži X (Twitter). Napadači koriste Grok da za... Dalje
Hakeri šire opasni malver preko SVG slika na Facebook-u
Većina ljudi je upoznata sa standardnim formatima slika poput JPG ili PNG. To su obične slike, bez skrivenih funkcija. SVG, ili skalabilna vektorsk... Dalje
Telegram krenuo u obračun sa prevarantima na plaformi koji ucenjuju korisnike
.jpg)
Pavel Durov, direktor i osnivač Telegrama, izjavio je da je ove nedelje platforma krenula u obračun sa prevarantima nakon što je kompanija primila ... Dalje
Pratite nas
Nagrade
Prijatelji
