Un ricercatore Indiano, ha da poco scoperto una vulnerabilità critica in Facebook che consentirebbe l’eliminazione di un Album di Foto senza bisogno di autenticazione.

Laxman Muthiyah, questo il suo nome, ha descritto il bug legandolo alle Facebook Graph API. Utilizzando un token di autorizzazione generato per la versione mobile di Facebook è riuscito ad eliminare un intero album fotografico Facebook senza bisogno di loggarsi. Sembrerebbe necessario l’invio di una richiesta API su HTTP della vittima utilizzando l’ID dell’album fotografico.

 

La risposta del Web Service è stata:

Request :-
DELETE /518171421550249 HTTP/1.1
Host : graph.facebook.com
Content-Length: 245
access_token=<Facebook_for_Android_Access_Token>
Response :-
true

Successivamente Laxman, avrebbe inviato la segnalazione di Bug al team Facebook e ricevuto una ricompensa di 12k $ per aver scoperto il bug

Lascia un commento