Arul Kumar, un entusiasta de la seguridad indio, informó recientemente sobre una vulnerabilidad interesante en Facebook que le permitió hackear Facebook y borrar cualquier imagen de la red social en un solo minuto y sin el conocimiento del propietario.
A diferencia del hacker palestino Khalil Shreateh, Arul Kumar recibió una recompensa, $ 12.500, de Facebook por el descubrimiento y comunicación de una brecha de seguridad en el sitio.
La falla es muy peligrosa porque usar el método de explotación también puede eliminar fotos del álbum del fundador de Facebook, Mark Zuckerberg, o incluso fotos de una página verificada.
Cómo se realiza el ataque ?
Normalmente, si una foto reportada no es eliminado por Facebook, el usuario puede enviar una solicitud de eliminación al propietario a través de un enlace generado automáticamente dirigido a él. Si el propietario de la foto hace clic en este enlace, la foto se elimina legalmente.
Arul Kumar explica en su blog que la falla radica en la modificación manual de dos parámetros en el enlace URL (Photo_id y Owners Profile_id). El atacante puede así recibir un enlace de eliminación de una foto sin que el propietario legítimo lo sepa.
Aquí está la URL de la vulnerabilidad y sus parámetros:
Desde entonces, el equipo corrigió la falla en las fotos. seguridad de facebook, y Kumar, por tanto, recompensado.