Ο Pranav Hivarekar, είναι ένας ερευνητής ασφάλειας από την Ινδία. Ο ερευνητής ανακάλυψε μια κρίσιμη ευπάθεια στην πλατφόρμα του Facebook, που του επέτρεπε να διαγράφει όποιο βίντεο ήθελε.
Το πρόβλημα ήταν σε ένα νέο χαρακτηριστικό του Facebook που προστέθηκε στην υπηρεσία αρχές του μήνα, όταν το κοινωνικό δίκτυο επέτρεψε την δημοσίευση βίντεο και σχολίων σε άλλες δημοσιεύσεις.
Ο ερευνητής αναφέρει ότι με κάποια κόλπα με ορισμένα αιτήματα API στο Facebook, ήταν σε θέση να διαγράψει οποιοδήποτε βίντεο ανέβηκε στην πλατφόρμα, με βάση το αναγνωριστικό του ID.
“Αυτό το σφάλμα είναι η απόδειξη ότι η λογική δεν είναι σωστή και δεν είναι κάποια τεχνικά ατέλεια που βλέπουμε όπως RCE, SSRF κλπ,” εξηγεί ο ερευνητής.
Το θέμα, σύμφωνα με τον Hivarekar, δημιουργείται όταν ένας χρήστης ανεβάζει ένα βίντεο σαν σχόλιο. Το βίντεο ανεβαίνει στο προφίλ του στο Facebook, και αυτό του δίνει ένα συγκεκριμένο αναγνωριστικό. Στη συνέχεια μετά την δημοσίευση στην επιθυμητή θέση, υπάρχει αυτό το αναγνωριστικό.
Στις δοκιμές του, ο ερευνητής ανακάλυψε ότι θα μπορούσε να δημιουργήσει σχόλια μέσω του API του Faceboοk, θα μπορούσε στη συνέχεια να στείλει ένα άλλο αίτημα API για να επισυνάψει οποιοδήποτε αναγνωριστικό βίντεο από οποιονδήποτε χρήστη, στο σχόλιά του. Βέβαια μετά από όλα αυτά χρησιμοποιώντας άλλο ένα αίτημα API μπορούσε να διαγράψει το σχόλιο.
Ο Hivarekar ανέφερε ότι οι προγραμματιστές του Faceboοk ξέχασαν να προσθέσουν ελέγχους για να μην διαγράφονται τα βίντεο από άτομα που δεν ανέβασαν τα βίντεο.
Ο ερευνητής ανέφερε την ευπάθεια στο Faceboοk μέσω του προγράμματος bug bounty στις 11 Ιουνίου, δύο ημέρες μετά την κυκλοφορία του νέου χαρακτηριστικού από το κοινωνικό δίκτυο.
Από την άλλη το Faceboοk διέθεσε μια προσωρινή λύση μετά από 23 λεπτά, και στη συνέχεια επιδιόρθωσε το σφάλμα εντελώς 11 ώρες αργότερα. Για το εξαιρετικά κρίσιμο bug που ανέφερε ο ερευνητής στο Faceboοk, το κοινωνικό δίκτυο τον επιβράβευσε με μια πενταψήφια ανταμοιβή.