Kako je jedan bag mogao omogućiti hakerima da obrišu foto albume korisnika Facebooka

Društvene mreže, 13.02.2015, 08:30 AM

Svakoga dana na najvećoj društvenoj mreži na svetu objavi se oko 350 miliona fotografija. Facebook ima jednu od najimpresivnijih kolekcija fotografija na internetu. Sve te fotografije mogle su biti obrisane da su informacije o propustu koji je otkrio jedan indijski programer dospele u pogrešne ruke. Srećom, Laxman Muthiyah, programer koji je otkrio ovaj propust, nije pokušao da proda svoje veliko otkriće nekom ko bi to zloupotrebio. Umesto toga, on je svoje otkriće odmah podelio sa Facebookom.

Laxman Muthiyah je otkrio bezbednosni propust u Facebook Graph API mehanizmu koji je mogao omogućiti hakerima da orbišu bilo koji album sa fotografijama na Facebooku i to bez autorizacionog tokena. Bilo koji foto album bilo kog korisnika, stranice ili grupe, zahvaljujući ovom propustu, mogao je lako biti obrisan.

Indijski programer je pronašao način da obriše ne samo svoje foto albume, na kojima je najpre testirao propust, već i albume drugih korisnika i to za samo nekoliko sekundi.

Muthiyah je otkrio da njegov pristupni token generisan za mobilnu verziju Facebooka može biti iskorišćen za brisanje bilo kog albuma sa fotografijama koje je objavio bilo koji korisnik Facebooka.

Da bi obrisao žrtvin album, napadač bi trebalo da pošalje HTTP Graph API zahtev sa ID-jem žrtvinog foto albuma i njegov pristupni token generisan za Facebook za Android aplikaciju.

U teoriji napadač je to mogao da uradi sa samo nekoliko linija koda i telefonom ali u praksi Facebook verovatno ima neke zaštitne mere koje sprečavaju da jedan uređaj nanese toliku štetu. A čak i ako bi napadaču to uspelo, društvena mreža je prevelika tako da bi se verovatno dogodilo to da napadač ne može da obriše albume onom brzinom kojom ih korisnici objavljuju. Ali bot mreža bi već mogla da napravi ozbiljnu štetu.

Muthiyah je o propustu obavestio Facebook u utorak, a kompaniji je trebalo svega dva sata da reši ovaj problem. Muthiyah je za ovo otkriće nagrađen sa 12500 dolara.

“Primili smo izveštaj o problemu sa našim Graph API i brzo ga rešili, dva sata pošto su potvrđene ove tvrdnje”, rekao je portparol Facebooka. On je istakao da bi korišćenje ovog propusta zahtevalo da napadač zna ID foto albuma, kao i da ima dozvolu da vidi album u skladu sa postavkama privatnosti. Ipak, iz kompanije su se zahvalili istraživaču zbog prijavljivanja ovog ozbiljnog propusta i rekli da je on nagrađen u okviru programa za nagrađivanje istraživača koji otkriju bagove.