Хакеры продолжают открывать все новые и новые дыры в безопасности Facebook. Недавно выяснилось, что в популярнейшей социальной сети можно свободно удалять фотографии, опубликованные любым пользователем.
Уязвимость была обнаружена индийским исследователем компьютерных уязвимостей Арулом Кумаром. Он выяснил, что при помощи Facebook Support Dashboard можно удалять фотографии других пользователей. Данная система работает на всех браузерах, а особенно эффективно — на мобильных устройствах.
Изначально Support Dashboard используется для посылки запросов на удаление фотографий (если они нарушают правила пользования сервисом). Далее сотрудники сервиса должны рассмотреть заявку и отправить пользователю ссылку, перейдя по которой, он удалит фотографию. Оказывается, что, перехватив идентификатор фотографии и идентификатор страницы пользователя и поменяв в них несколько цифр, хакеры могли удалять любые снимки – со страниц пользователей, компаний или сообществ.
Facebook признала уязвимость критической. Обычно за обнаружение багов в соцсеть выплачивает от 500 до 1500 долларов, в зависимости от важности находки. Однако Кумару Facebook выплатила 12 500 долларов.
Напомним, что не так давно хакер Халил Шратех обнаружил еще более серьезную уязвимость в соцсети, позволяющую публиковать записи на стенах любых пользователей. Facebook изначально не прислушалась к сообщению палестинца, после чего ему пришлось опубликовать сообщение о проблеме на странице Марка Цукерберга. В итоге компания так ничего и не заплатила Шратеху, так как он нарушил установленные Facebook для «добропорядочных» хакеров правила.
На данный момент обе уязвимости в безопасности Facebook уже исправлены. Компания продолжает проект по денежному поощрению исследователей, отыскивающих в соцсети «дыры».
Delete any Photo from Facebook by Exploiting Support Dashboard from Arul Kumar.V on Vimeo.
Источник: hitech.vesti.ru
