Arul Kumar, un indien passionné de la sécurité a récemment rapporté une vulnérabilité intéressante sur Facebook qui lui a permis de pirater Facebook et d’effacer n’importe quelle image du réseau social dans une seule minute et à l’insu du propriétaire.


Contrairement au hacker palestinien Khalil Shreateh, Arul Kumar a bien lui perçu une récompense, 12.500 dollars, de la part de Facebook pour la découverte et la communication d’une faille de sécurité sur le site.

La faille est trés dangereuse car l’utilisation de la méthode d’exploitation peut également supprimer les photos de l’album de mark Zuckerberg, le fondateur de Facebook, ou Même les photos d’une page vérifié.

Comment l’attaque est effectué ?

Normalement, si une photo signalée n’est pas supprimée par Facebook, l’utilisateur peut envoyer une requête de suppression au propriétaire via un lien automatiquement généré qui lui est adressé. Si le propriétaire de la photo clique sur ce lien, la photo est supprimée légalement .

facebook_faille_supprimer-photo

Arul Kumar explique sur son blog que la faille réside dans la modification manuelle de deux paramètres dans le lien d’URL ( Photo_id et Owners Profile_id ). L’attaquant peut ainsi recevoir un lien de suppression pour une photo sans que le propriétaire légitime ne soit au courant.

Voici l’URL de la vulnérabilité et ses paramètres:

faille-facebook-supprimer-photo

La faille des photos a depuis été corrigée par l’équipe sécurité de Facebook, et Kumar donc récompensé.