Un ricercatore Indiano, ha da poco scoperto una vulnerabilità critica in Facebook che consentirebbe l’eliminazione di un Album di Foto senza bisogno di autenticazione.
Laxman Muthiyah, questo il suo nome, ha descritto il bug legandolo alle Facebook Graph API. Utilizzando un token di autorizzazione generato per la versione mobile di Facebook è riuscito ad eliminare un intero album fotografico Facebook senza bisogno di loggarsi. Sembrerebbe necessario l’invio di una richiesta API su HTTP della vittima utilizzando l’ID dell’album fotografico.
La risposta del Web Service è stata:
Request :- DELETE /518171421550249 HTTP/1.1 Host : graph.facebook.com Content-Length: 245 access_token=<Facebook_for_Android_Access_Token> Response :- true
Successivamente Laxman, avrebbe inviato la segnalazione di Bug al team Facebook e ricevuto una ricompensa di 12k $ per aver scoperto il bug