Facebook устранила уязвимость, позволявшую атакующим удалить любое опубликованное в соцсети видео без разрешения и авторизации. Проблема была обнаружена исследователем безопасности Дэном Меламедом (Dan Melamed) в июне прошлого года.
Эксперт выяснил, что легко может не только удалять видео на Facebook, но и отключать комментарии к ним. Данная уязвимость схожа с ошибкой, которую примерно в тот же период выявил другой специалист по безопасности, Пранав Хиварекар (Pranav Hivarekar). Как обнаружил Хиварекар, ошибка в функции Facebook, позволяющей комментировать сообщения с помощью видеозаписей, приводила к тому, что вместе с комментарием удалялось и само видео.
В свою очередь, Меламед обнаружил способ добавлять видео в мероприятие. Соответственно, при удалении мероприятия, удаляется и видео. С целью эксплуатации уязвимости, исследователь создал публичную страницу в Facebook и загрузил видео в раздел “Отзывы”. Далее при помощи отладочного прокси Fiddler эксперт перехватил POST-запрос и заменил значение Video ID загруженного видео на идентификатор другого ролика, опубликованного в соцсети. Хотя система Facebook ответила сообщением об ошибке This content is no longer available (“Данный контент больше не доступен”), видео оказалось успешно опубликовано. Позже Меламед удалил страницу, что привело к удалению добавленного видео. В качестве доказательства исследователь опубликовал видео с демонстрацией атаки. Меламед проинформировал команду безопасности Facebook об уязвимости. В начале года проблема была устранена, а исследователь получил вознаграждение в размере $10 тыс. (Facebook/NovostIT)
