Bug no Facebook permite excluir fotos
Pesquisador descobre que bug no Facebook permite excluir fotos de forma muito simples que qualquer pessoa poderia fazer, veja aqui os detalhes.
[ad#texto]
Que o Facebook nunca foi um centro de segurança digital todos já sabem, o problema é que o pesquisador Laxman Muthiyah descobriu que um bug no Facebook permite excluir fotos de qualquer usuário sem consentimento.
A forma como o bug foi descoberto é bem interessante, pois o pesquisador estava trabalhando com a API do Facebook e pensou em “testa-la” para ver se seria de fato possível apagar fotos ou álbuns de fotos sem que o usuário permitisse e não foi que ele conseguir de forma relativamente fácil burlar o sistema e excluir álbuns de fotos completos.
Veja nas suas próprias palavras:
Eu decidi tentar isso com o token de acesso para o Facebook móvel, porque podemos ver a opção para excluir todos os álbuns de fotos no aplicativo móvel do Facebook, não é? Sim, e ele também usa a mesma Graph API. Então eu peguei o código numérico de um álbum e um dos meus tokens de acesso do Facebook para Android, e tentei fazer isso.
Bug no Facebook permite excluir fotos: explicando os atores
O primeiro passo é conseguir um token. Para quem não sabe o token no Facebook é gerado quando um usuário permite que um aplicativo acesse seu perfil, neste momento é gerada uma sequencia de letras e números que irá atuar como uma espécie de agente liberador do acesso daquele perfil.
No caso explicado aqui foi utilizado um token gerado para o App do Facebook no Android.
O segundo passo foi observara URL ao acessar um álbum de fotos qualquer, podemos perceber que uma sequencia numérica é utilizada para identificar aquele álbum, e o pior é que este número é sequencia, o que facilitaria a utilização de um bot, por exemplo.
Bug no Facebook permite excluir fotos: explorando a falha de segurança
Com tudo em mãos explorar a falha de segurança é muito simples, basta enviar uma requisição informando o comando DELETE (para apagar) e passar o token e o número sequencial do algum de fotos, veja um exemplo:
Request :-
DELETE /(sequencial álbum de fotos) HTTP/1.1
Host: graph.facebook.com
Content-Length: 245
access_token=(sequencia do token)
E pronto, os servidores do Facebook irá responder que tudo foi processado com sucesso e depois basta acessar o próprio Facebook para confirmar que o álbum de fotos foi realmente excluído.
Bug no Facebook permite excluir fotos: o que o pesquisador fez
Tendo identificado a falha de segurança ele informou a equipe do Facebook que resolveu o problema em aproximadamente duas horas, em seguida ele recebeu US$ 12.500,00 como recompensa por ter descoberto e avisado o Facebook da falha.
É provável que ela não possa ser mais explorada, mas ainda podemos analisar e verificar que o fator segurança sempre foi negligenciado pelo Facebook e parece que pouca coisa mudou.