Брешь позволяла удалять фото любых пользователей Facebook
Очередную уязвимость в безопасности соцсети Facebook выявил индийский исследователь Арул Кумар. Он установил, что при помощи сервиса Support Dashboard любой желающий мог удалять чужие фотографии.
Система работает таким образом: при посылке запросов на удаление фотографий, которые нарушают правила социальной сети (именно для этого используется Support Dashboard), сотрудники Facebook высылают пользователю ссылку, пройдя по которой, он может удалить фото.
Однако если перехватить идентификатор фотографии и идентификатор страницы пользователя, а после поменять в них несколько цифр, можно было удалить любые снимки, в том числе из корпоративных блогов.
Руководство соцсети признало уязвимость критической и решила выплатить Кумару 12,5 тыс. долларов, хотя обычно за такого рода находки Facebook платит от 500 до 1500 долларов. Сообщается, что сейчас уязвимость исправлена, а фотографиям ничего не угрожает.