كشف رخنه‌ای در فيس‌بوک

شماره: IRCNE2013091944
تاريخ:12/06/92

Arul Kumar، يك محقق هندي يك رخنه امنيتي را در فيس بوك كشف كرده است. اين رخنه به هكرها اجازه مي دهد تا هر عكس ذخيره شده در فيس بوك را حذف نمايند.
اين رخنه در رده امنيتي بحراني قرار گرفته است و از طريق هر مرورگر با هر نسخه اي قابل سوء استفاده مي باشد. هم چنين مي تواند از طريق دستگاه هاي موبايل از اين رخنه سوء استفاده كرد.
Facebook Support Dashboard براي ارسال درخواست هاي Photo Removal مورد استفاده قرار مي گيرد. اين درخواست ها توسط كاركنان فيس بوك بررسي مي شود و يا درخواست ها مي توانند به طور مستقيم براي صاحب عكس فرستاده شوند. سپس لينكي براي حذف عكس ايجاد مي شود كه اگر توسط صاحب عكس كليك شود، آن عكس حذف مي گردد.
هنگام ارسال پيام، دو پارامتر Photo_id و Owners Profile_id آسيب پذير مي باشند. اگر اين پارامترها تغيير كنند، هكرها مي توانند هر لينك حذف عكس را بدون آگاهي صاحب آن دريافت نمايند.
هر عكس داراي مقدار "fbid" مي باشد كه مي توان آن را از طريق URL فيس بوك يافت. پس از آنكه شناسه عكس امن شد، دو حساب كاربري فيس بوك يكي به عنوان فرستنده و ديگري به عنوان گيرنده مي تواند براي دريافت "لينك حذف عكس" مورد استفاده قرار گيرد.
Kumar گفت: هر عكسي مي تواند از صفحات كاربران برداشته شود، تصاوير به اشتراك گذاشته شده و برچسب گذاري شده مي توانند حذف شوند و عكس ها مي توانند از گروه ها، صفحات و پست هاي پيشنهاد شده بدون محدوديتي برداشته شوند.
Kumar به دليل كشف اين رخنه از طرف برنامه Bug Bounty برنده جايزه شد. اين برنامه محققان را ترغيب مي نمايد تا يافته هاي خود را گزارش داده و جايزه مالي دريافت نمايند. رخنه موجود در فيس بوك برطرف شده است.