Социальная сеть Facebook исправила уязвимость, позволяющую злоумышленникам удалять фотографии пользователей. Брешь обнаружил специалист Лаксман Мутия (Laxman Muthiyah), получив за это вознаграждение в $12,5 тыс.
Согласно документации Facebook для разработчиков, фотоальбомы можно удалять с помощью специального узла в API Graph. Об этом Мутия сообщил в своем блоге. Попытавшись удалить один из своих фотоальбомов с использованием токена graph explorer, он получил сообщение об ошибке, в котором указывалось, что другое приложение может осуществить этот вызов API. В конце концов специалист обнаружил, что при помощи токена доступа с мобильного устройства на Android-девайсе можно вынудить систему удалить фотоальбом другого пользователя.
Пресс-секретарь Facebook сообщил, что ошибка была исправлена в течение двух часов после того, как Мутия сообщил о ней. Он уточнил, что проэксплуатировать брешь можно, если злоумышленник знает идентификатор целевого альбома и имеет разрешение на просмотр фотографий в нем. Представитель соцсети поблагодарил исследователя за обнаруженную им ошибку. (Facebook/NovostIT)
