Erro estava em função que permitia solicitar remoção de fotos.
Pesquisador recebeu US$ 12,5 mil (R$ 30 mil) pela descoberta.
O pesquisador de segurança Arul Kumar recebeu US$ 12,5 mil (quase R$ 30 mil) por informar ao Facebook a existência de uma vulnerabilidade que permitia que qualquer usuário apagasse qualquer foto enviada por outro usuário na rede social.
O especialista indiano publicou os detalhes do problema em seu blog pessoal depois de já ter aguardado que o Facebook solucionasse a falha (Veja aqui).
O Facebook recompensa em dinheiro qualquer um que contribuir com informações sobre falhas na rede social, mas o valor pago nesse caso foi mais alto que o de costume.
saiba mais
O problema estava em uma função do Facebook que permite a um usuário denunciar uma foto ao Facebook como inapropriada.
Quando a rede social não remove a foto, o internauta tem a opção de enviar uma solicitação a quem fez o upload da mesma, que receberá uma notificação dizendo que alguém gostaria que a foto fosse apagada.
Essa tela possui um link para que aquele que enviou a foto possa imediatamente apagar a imagem. No entanto, qualquer outro usuário do Facebook poderia acessar esse mesmo link e apagar a imagem, porque a rede social não verificava se o usuário logado era o mesmo do dono da foto.
Dessa forma, era preciso apenas saber o link, o que também era possível adivinhar. Com isso, qualquer foto na rede social poderia ser apagada, apenas acessando endereços específicos.
Kumar publicou um vídeo demonstrando como era possível adivinhar os valores numéricos do endereço a ser acessado (Veja o vídeo).
FONTE:
0 comentários:
Postar um comentário
Faça seu comentário aqui ou deixe sua opinião.
Observação: somente um membro deste blog pode postar um comentário.