Chyba v zabezpečení Facebooku umožňovala, aby mohol hocijaký užívateľ zmazať album iného užívateľa, skupiny, či fanúšikovskej stránky bez potreby overenia jeho identity.
Bezpečnostný výskumník Laxman Muthiyah, ktorý chybu v zabezpečení objavil, vysvetlil princíp zraniteľnosti, ktorý spočíva v Graph API mechanizme Facebooku a povoľuje hackerovi zmazať na tejto sociálnej sieti nielen svoj, ale aj cudzí album. Všeobecne facebookový Graph API vyžaduje prístupový token pre čítanie alebo zápis užívateľských práv, ktorý poskytuje k aplikácii len obmedzený prístup. Laxman ale zistil, že jeho vlastný prístupový token generovaný pre mobilnú verziu Facebooku môže byť z využitý k odstráneniu akéhokoľvek albumu hocijakým užívateľom tejto sociálnej siete.
Na odstránenie albumu obete potrebuje útočník len odoslať požiadavku Graph API z báze http s požiadavkou ID albumu obete s vlastným prístupovým tokenom vytvoreným pre aplikáciu Facebook Android. Portál thehackernews.com dokonca objasnil útok pomocou videa.
Facebookový program Bug Bounty odmenil Laxmana sumou 12 500 dolárov za pomoc tímu vývojárov odhaliť a opraviť túto bezpečnostnú chybu v zabezpečení systému.
Zdroj: Thehackernews.com
(AS)