Door Facebook bug konden willekeurige foto’s verwijderd worden

Volgens een hacker was het mogelijk om iedere willekeurige foto van Facebook te verwijderen door een beveiligingslek. Indiaanse engineer Arul Kumar heeft dit uitgelegd in zijn blog. Het was mogelijk om gebruik te maken van een kwetsbaarheid van het Facebook Support Dashboard dat wordt gebruikt om aanvragen te versturen voor het verwijderen van foto’s. Het bleek mogelijk om deze aanvragen om te leiden.

Kumar was in staat om de URL van de aanvraag zodanig te wijzigen dat de goedkeuring voor verwijdering van een willekeurige foto van een Facebook pagina naar een account werd gestuurd waar hij zelf de controle over had. Aan het einde van de URL staan twee parameters. Eén die aangeeft om welke foto het gaat en een tweede die aangeeft welke Facebook gebruiker de betreffende foto op zijn Facebook heeft staan. Hij wijzigde de URL zodanig dat de aanvraag niet naar de Facebook gebruiker werd gestuurd waar de foto gepubliceerd stond, maar naar een van zijn eigen accounts.

Kumar heeft vervolgens het probleem gemeld bij het Facebook-beveiligingsteam om aanspraak te maken op een beloning voor het melden van deze kwetsbaarheid. In eerste instantie lukte het Kumar niet om het probleem door Facebook te laten reproduceren. Pas nadat hij zelf een video had gemaakt waarin het issue werd toegelicht en deze aan Facebook had aangeboden, werd er door Facebook gereageerd. Facebook gaf aan blij te zijn met de manier waarop Kumar het probleem op video had vastgelegd. Omdat hij zich aan de richtlijnen heeft gehouden die Facebook heeft opgesteld ontving hij een beloning van $12.500. De richtlijnen bepalen onder andere dat er geen gebruik mag worden gemaakt van bestaande accounts van Facebook gebruikers, maar dat er alleen met demo accounts mag worden gewerkt om dit soort lekken aan te tonen. De minimale beloning van Facebook is $500 en een maximum is niet door Facebook vastgelegd

Aanmelden voor onze nieuwsbrief