В Facebook был обнаружен критический баг, позволяющий любому посетителю сайта удалять целиком чужие фотоальбомы.
Работа с фотоальбомами идет через Graph API, и Лаксман Мутия из Индии обнаружил, что может удалять с его помощью чужие фотоальбомы.
Команда для удаления выглядит следующим образом:
Request :-
DELETE /[Victim’s_photo_album_id] HTTP/1.1
Host : graph.facebook.com
Content-Length: 245
access_token=[Your(Attacker)_Facebook_for_Android_Access_Token]
В самой последней строке необходим токен, который можно скопировать прямо из адресной строки браузера. Если делать это с декстопа, то API напишет что приложение не имеет функциональности для удаления альбома через этот API.
Application does not have the capability to make this API call
Из этого следует что API может принять токен из других приложений. Как оказалось, подходит токен из приложения Facebook для Android, поскольку в этой программе есть возможность удаления альбомов целиком.
Как и ожидалось, Graph API с Android токеном начал удалять целые альбомы даже если они принадлежали другим пользователям.
После обнаружения ошибки Лаксман Мутия немедленно сообщил о ней в отдел безопасности Facebook. Ошибку исправили всего за 2 часа, а в качестве награды Лаксман получил $12.5 тыс.
Посмотреть как происходило удаление альбомов можно в этом видео. А подробное описание ошибки есть в блоге Лаксмана.
Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: