Bug koji omogućuje brisanje slika s Facebooka
Indijski haker nagrađen od strane Facebooka za otkrivanje vrlo neugodnog buga.
Indijski haker Arul Kumar ovih je dana poslao upozorenje Facebooku o opasnom bugu u mobilnoj inačici Support Dashboarda koji omogućava napadačima brisanje slika s korisničkih profila.
Za takvu akciju napadaču su potrebna dva Facebook računa. S jednog se šalje zahtjev za brisanje slike, no kako slika ne krši niti jedno pravo, osoba koja posjeduje sliku dobiva samo obavijest i zahtjev da sama pobriše sliku.
Haker je potom otkrio kako može promijeniti URL zahtjeva za brisanje, te dodati photo_id i profile_id slike bilo kojeg drugog korisnika.
Drugim riječima, jedan hakerski račun šalje zahtjev za brisanje slike na drugi račun koji ne sadrži photo_id i profile_id slike koja se nalazi na njemu, već one s računa bilo kojeg drugog korisnika.
Nakon što je Facebook zaprimio Kumarovu obavijest, nije uspio reproducirati grešku, pa im je Indijac poslao video s detaljnim pojašnjenjem metode, nakon čega su shvatili o čemu se radi i pokrpali bug u roku od jednog dana.
Potom su se zahvalili Kumaru i odlučili ga nagraditi s 12.500 dolara (71.349 kn), a nama je omogućeno da i dalje bezbrižno uživamo u svojim spektakularnim galerijama na Fejsu bez straha da će nam neka zla sila popapati slike.
Izvor: Arul Kumar blog
Učitavam komentare ...