一名自称为“有志于道德黑客行为的安全热心者”的印度电子和通信工程师表示,他已发现了Facebook 的一个漏洞,这个漏洞允许该网站上的任何照片在其所有者不知情的情况下被删除。
这位21 岁的工程师名叫艾鲁尔·库马尔,来自于印度南部的泰米尔纳德邦,他称其发现可在一分钟内删除Facebook 网站上的任何照片,而无需与用户进行任何互动,即使是在经过认证的页面上也是如此。库马尔已将这个漏洞上报给Facebook,并因此获得了1.25 万美元的奖金。
这个漏洞是库马尔在对移动版 Facabook Support Dashboard 进行研究后发现的,这个门户允许用户追踪向 Facebook 网站提交的任何报告的进展,包括用户认为哪些照片应被删除等。当用户提交这种申请而 Facebook 并未删除可疑照片时,用户可选择直接向图片所有者发送删除照片的请求。这样做的结果是,Facebook 会生成一个照片删除链接,该链接随后会被发送给信息接收者,接收者可点击链接以删除照片。
库马尔发现,在这种信息中有两个参数很容易被修改,分别是“'photo_id”和“Owners Profile_id”。通过改变这两个参数,库马尔可以选择删除Facebook 网站上的任何照片。在这一过程中,照片被删的用户不会以任何方式参与其中,而且也不会收到来自Facebook 的任何信息。事实上,只有当用户登录以后发现自己的照片消失了才会知道。
库马尔解释称,这个漏洞可被用来删除任何已认证用户、页面或群组的照片,以及来自于状态信息、相簿、推荐帖子甚至是评论中的照片。
库马尔将这一漏洞的细节发给了 Facebook 安全团队,后者一开始不能通过他所说的方法来删除任何照片。随后,库马尔又使用一个演示账号来对这个漏洞进行了说明,此外还向 Facebook 发出了一段概念视频作为证据,以证明他可以从马克·扎克伯格的相簿中删除后者自己的照片。这一次 Facebook 安全团队的一名成员证实确实存在该漏洞,并表示将在“明天早上的某个时候”作出修复。
编辑点评:facebook作为全球知名的社交类网站,在全球拥有极大的用户使用量。如何保证用户帐号的安全是很重要的,希望引起facebook官方的重视!
有用
53
