Независимый специалист Арул Кумар в своем блоге сообщил, что им был обнаружен программный баг в коде Facebook, при помощи которого потенциальный злоумышленник мог удалять любые изображения, хранящиеся в соцсети. Индийский специалист говорит, что сейчас этого бага в Facebook уже нет – он ранее сообщил о нем в компанию и получил за это вознаграждение.
В своем блоге он пишет, что им был создан эксплоит, работающий с Facebook Support Dashboard. Уязвимость работала независимо от браузера и версии, однако наиболее просто и удобно ее было применять на мобильных устройствах. Эксплоит позволял примерять запросы Photo Removal к платформе, независимо от того, принадлежит ли атакующему изображение или нет.
Более подробно пециалист говорит, что уязвимость крылась в обработке параметров Photo_ID и Owners Profile_ID, который можно было модифицировать, чтобы указатели отправителя и получателя не имели значения, а платформа в любом случае отрабатывала запрос. (Facebook/NovostIT)
