Arul Kumar

Ευπάθεια στο Facebook επιτρέπει σε οποιονδήποτε να διαγράψει φωτογραφίες

Ένα κενό ασφαλείας που επέτρεπε σε κάποιον (ακόμα κι αν δεν είχε ιδιαίτερες γνώσεις hacking) να διαγράψεi οποιαδήποτε φωτογραφία έχει ανέβει στο ανακαλυφθηκε από έναν Ινδό ερευνητή ασφαλείας τον Arul Kumar (ο όρος “ερευνητής ασφαλείας” είναι μια θετική αναπλαισίωση του όρου “hacker”). Ο Arul Kumar παρέλαβε από το Facebook 12.500 δολάρια για την ανακάλυψη του.

Το ελάττωμα του Facebook, όπως εξηγεί στο του ο Arul Kumar, εκμεταλλεύεται την υπηρεσία Facebook . Η ευπάθεια θεωρήθηκε κρίσιμη και λειτουργεί με οποιοδήποτε πρόγραμμα περιήγησης και με κάθε έκδοση.

Arul Kumar

Το ταμπλό του Facebook Support χρησιμοποιείται για την αποστολή αιτήσεων διαγραφής δημοσιεύσεων, σελίδων ή φωτογραφιών. Οι αιτήσεις αξιολογούνται από τους εργαζόμενους του Facebook, ή, εναλλακτικά, αποστέλλονται στον ιδιοκτήτη της φωτογραφίας (αν πρόκειται για φωτογραφία). Μαζί με την αποστολή της αίτησης διαγραφής αποστέλλετε και ένας σύνδεσμος που αν κάνετε κλικ πάνω του διαγράφει την επίμαχη φωτογραφία.

Το link ή στα Ελληνικά ο σύνδεσμος περιέχει, δύο παραμέτρους το Photo_id & το Owners Profile_id. Δηλαδή περιγράφει επακριβώς ποιος είναι ο ιδιοκτήτης και ποια είναι η εικόνα. Εάν τροποποιηθούν αυτές οι δύο παράμετροι, τότε ο hacker θα μπορούσε να σβήσει οποιαδήποτε φωτογραφία χωρίς να το γνωρίζει ο ιδιοκτήτης της.

  Αποχώρηση Facebook-Instagram από την Ευρώπη... σιγά μην φύγουν

Κάθε φωτογραφία έχει μαι τιμή “fbid”, η οποία μπορεί να βρεθεί στην διεύθυνση URL της φωτογραφίας και είναι ουσιαστικά η ταυτότητα της.
Το αναγνωριστικά προφίλ του ιδιοκτήτη μπορεί να βρεθεί με τη χρήση του Facebook Graph.

Ο Arul Kumar έδωσε μερικά παραδείγματα:

://m.facebook.com/report//?phase=0&next_phase=8&pp={“first_dialog_phase”: 8,”support_dashboard_item_id”:396746693760717,””:”\/settings\/support\/details\/?fbid=396746693760717″,”actions_to_take”:”{\”send_message\”:\”send_message\”}”}&content_type=2&cid=PHOTO_ID&rid=PROFILE_ID

Κοιτάξτε το URL . Μπορείτε να δείτε τους παραμέτρους “cid” & “rid” τους οποίους μπορείτε να χρησιμοποιήσετε για την απομάκρυνση οποιαδήποτε φωτογραφίας αλλάζοντας τις αξίες των “photo_id” και “profile_id” .

Αν στη συνέχεια, αν κάνετε κλικ στο κουμπί “Συνέχεια” το Facebook θα στείλει αυτόματα έναν σύνδεσμο αφαίρεσης της φωτογραφίας στο προφίλ που εσείς ορίσατε.

Αν σας φαίνεται καλή ιδέα μην το προσπαθήσετε γιατί το σφάλμα έχει ήδη διορθωθεί.

Διαβάστε περισσότερα

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


  +  6  =  11