Брешь в безопасность социальной сети Facebook, которая позволяла удалять любые фотографии, опубликованные на страницах сети, была оценена в $12,500. Индийский специалист по безопасности Арул Кумар (Arul Kumar) рассказал, что уязвимость, которую он обнаружил, использует Facebook Support Dashboard, работает в любом браузере и версии, но наиболее успешно может быть использована на мобильных устройствах.
Facebook Support Dashboard используется для посылки запросов на удаление фото Photo Removal Requests. Эти запросы просматриваются сотрудниками фирмы, либо направляются непосредственно владельцам фото. Для удаления генерируется ссылка на фото, перейдя по которой пользователь может завершить процесс удаления. При пересылке сообщений злоумышленники могли перехватить параметры Photo_id & Owners Profile_id и, модифицировав их, получить доступ к практически любому изображению.
Таким образом можно удалить изображение со страниц компаний, пользователей и групп без ограничений. Специалисты Facebook признали уязвимость «критической» и выплатили нашедшему премию в размере $12,500 в рамках программы поощрения Bug Bounty.
По материалам http://news.cnet.com/8301-1009_3-57600991-83/facebook-flaw-allowed-hackers-to-delete-posted-photos/