Falha no Facebook permitia apagar fotos de qualquer usuário


Mais um bug no Facebook foi descoberto e divulgado nesta semana. Desta vez, a falha permitia que uma pessoa qualquer removesse fotos do álbum de um usuário, sendo amigo dele ou não.

A brecha na segurança foi descoberta pelo pesquisador indiano Arul Kumar, que a divulgou em seu blog pessoal depois de repassá-la ao próprio Facebook. O problema foi devidamente corrigido e Kumar, ao contrário de Khalil Shreateh e o bug de algumas semanas atrás, foi bonificado com um pagamento de 12.500 dólares.

Aproveitar-se da falha descoberta pelo indiano, considerada gravíssima, era relativamente simples, o que explica o alto preço da correção. Ela se aproveitava de problemas no painel de controle do suporte do Facebook, que permitia que um usuário conferisse o status de uma denúncia de foto inapropriada, por exemplo, enviada para avaliação.

Caso uma imagem reportada não fosse removida pelos técnicos da rede social, o usuário que havia feito a acusação recebia um link. Através dele, era possível enviar uma solicitação de remoção diretamente ao responsável pela imagem – e neste endereço que estava o problema.

Com algumas poucas alterações na URL, o “invasor†podia simplesmente acessar a interface visível pelo dono da foto, amigo dele ou não, e deletá-la. Dada a facilidade da execução, não levaria muito tempo para que uma ferramenta destinada unicamente para isso fosse desenvolvida, por exemplo.

A parte curiosa da denúncia é que o bug foi demonstrado usando como "vítima" o perfil de Mark Zuckerberg. No entanto, ao contrário de Shreateh, que postou no mural do dono da rede social, Kumar não colocou a falha em ação – ou seja, nenhuma foto de Zuckerberg foi apagada durante a ação. Como não houve violação nos termos de uso do Facebook, o pesquisador indiano seguiu apto a receber a bonificação.

Fonte