Facebook bug stelde iedereen in staat om jouw foto’s te verwijderen

Facebook is door het oog van de naald gekropen. Laxman Muthiyah ontdekte een fout in Facebook waarmee het mogelijk was om foto’s van andere personen te verwijderen. Laxman bleek niet kwaadwillend en meldde het probleem bij Facebook.

Iedereen met een beetje technische kennis was door de fout in staat om alle foto’s op het platform te wissen. Muthiyah, een jongen uit India, ontdekte de fout per toeval en heeft zijn bevindingen doorgegeven aan Facebook. In ruil hiervoor ontving Muthiyah 12.500 dollar als beloning.

Graph API

Muthiyah noteerde alle stappen van de fout op zijn blog, waaruit blijkt dat het probleem zat in Facebook’s Graph API. Via de Graph API had Muthiyah (en met hem iedereen) toegang tot het verwijderen van complete fotoalbums op Facebook. Met onderstaande code lukte het Muthiyah om elk gewenst fotoalbum op Facebook te verwijderen.

Request :-
DELETE /[Victim’s_photo_album_id] HTTP/1.1
Host : graph.facebook.com
Content-Length: 245
access_token=[Your(Attacker)_Facebook_for_Android_Access_Token]

Na de melding is Facebook direct aan de slag gegaan met de bug en binnen twee uur was de fout verholpen. Het is voor Facebook een wake-up call dat een relatief simpele bug als deze voorkomt.

Volgens Sophos, een beveilingsbedrijf, heeft Facebook geluk gehad. Het was eenvoudig om alle foto’s op Facebook te verwijderen, zo stellen zij. “De problemen waren dan vele malen groter en die had Facebook niet direct op kunnen lossen.