USD 63.95 ЕВРО 71.13

Уязвимость в Facebook позволяет хакерам удалять любую фотографию

Экономика

Охотник за багами был награжден $12500 после обнаружения изъяна в системе безопасности, который позволял удалять фотографии.

Уязвимость, которая позволяла хакерам удалять любое изображение, хранящееся на Facebook, была обнаружена индийским исследователем Арулом Кумаром, и он был вознагражден за свои усилия.

Уязвимость Facebook, объяснённая в блоге Кумара, использует Facebook Support Dashboard. Оценённый как «критический» баг работает с любым браузером любой версии, но был наиболее успешно использован с помощью мобильных устройств.

Facebook Support Dashboard используется для отправки запросов на удаление фото. Отчёты рассматриваются сотрудниками Facebook, или же отчеты могут быть отправлены непосредственно владельцу изображения. Затем генерируется ссылка на удаление фото, при клике по которой, владелец удаляет изображение.

Тем не менее, во время отправки сообщения, два параметра — Photo_id и Owners Profile_id — уязвимы. В случае изменения, хакер может получить ссылку на удаление любой фотографии в свою почту, без действий и знания владельца.

Каждая фотография имеет значение «fbid», которое может быть найдено через URL Facebook. После того как ID изображения найдено, две учетные записи пользователей Facebook, одна из которых может выступать в качестве «отправителя», вторая в качестве «получателя» — могут быть использованы для получения ссылки на удаление фотографии.

ID профиля владельца может быть найдено с помощью Facebook Graph.

Специалист по безопасности объясняет, как работает хак:

https://m.facebook.com/report/social/?phase=0&next_phase=8&pp={«first_dialog_phase»: 8,»support_dashboard_item_id»:396746693760717,»next»:»/settings/support/details/?fbid=396746693760717″,»actions_to_take»:»{«send_message»:»send_message»}»}&content_type=2&cid=PHOTO_ID&rid=PROFILE_ID

Посмотрите на URL. В конце вы можете видеть параметры «cid» и «rid». Это уязвимые параметры, благодаря которым мы имеем возможность отправлять ссылку на удаление любой фотографии в почтовый ящик получателя, изменив значение «photo_id» и «profile_id».

где,
cid= Photo_id (просто используйте значение Id вашей целевой фотографии как «cid»)
rid= Profile_id (Вам нужно подставить ID профиля получателя вместо «rid»)
После подстановки этих значений, нажмите клавишу Enter. Затем, если вы нажмете кнопку «Продолжить», Facebook автоматически отправит ссылку удаления фото на профиль получателя.

Кумар сказал, что любая фотографии могут быть удалены со страниц пользователей, общих и тегированных изображений, а также из групп, страниц и постов без ограничений.

В результате Кумар был вознагражден $12500 посредством программы поощрения за нахождение багов, которая стимулирует исследователей сообщать об ошибках за финансовое вознаграждение, и ошибка была исправлена.