Facebook corregge il bug che cancella le foto

Facebook ha risolto un bug che avrebbe potuto permettere, ad un malintenzionato, di cancellare le foto pubblicate negli album di altri utenti. Ed ha staccato un assegno da 12.500 dollari a favore del ricercatore protagonista della scoperta.

Laxman Muthiyah, questo il nome dell’esperto che ha responsabilmente segnalato la falla di sicurezza al team di sviluppo di Facebook, ha spiegato che stava lavorando con le Graph API del social network, piattaforma che consente a qualunque programmatore di interagire coi contenuti pubblicati sul sito. Graph API fornisce una puntuale
rappresentazione del “grafico sociale”, mostrando i collegamenti fra i vari elementi (persone, foto, eventi, pagine,…).

Inviando una richiesta HTTP di appena quattro righe, Muthiyah ha spiegato di essere riuscito a cancellare le foto contenute negli album di alcuni conoscenti che avevano dato il loro consenso per l’esperimento.

Al ricercatore è bastato inviare una simile richiesta per raggiungere l’obiettivo:

DELETE /ID dell'album fotografico HTTP/1.1
Host : graph.facebook.com
Content-Length: 245
access_token=token di accesso Facebook per Android dell'aggressore

Facebook ha provveduto a risolvere il problema ad appena due ore di distanza dalla segnalazione della falla di sicurezza precisando che la lacuna avrebbe potuto essere sfruttata per cancellare le foto degli album pubblici o visibili da parte dell’aggressore.