Falla per la rimozione delle foto su Facebook: vale 12.500$

Il trattamento riservato da Facebook al ricercatore indiano Arul Kumar, autodefinitosi un “appassionato di sicurezza con una passione per l’hacking etico“, è ben diverso da quello usato nei confronti del palestinese Khalil Shreateh (Facebook in imbarazzo per un bug di sicurezza “scomodo”).
I responsabili del social network di Mark Zuckerberg hanno infatti deciso di versare a Kumar la somma di 12.500 dollari, premio per aver scoperto una pericolosissima vulnerabilità nella piattaforma. Tale lacuna di sicurezza avrebbe potuto permettere, a chiunque, di cancellare le foto pubblicate su Facebook da altri utenti, senza alcuna autorizzazione. Diversamente da Shreateh, il 21enne indiano si sarebbe comportato in maniera leale segnalando la falla al team di supporto di Facebook evitando di diffonderne i dettagli e senza provocare danni agli account altrui.

Kumar ha scoperto la presenza di una vulnerabilità nell’applicazione Facebook destinata ai dispositivi mobili: sfruttando lo strumento di segnalazione delle foto sconvenienti, un aggressore avrebbe potuto provocare l’eliminazione arbitraria di immagini assolutamente legittime. Il tutto semplicemente modificando due parametri presenti nel link automaticamente rilasciato da Facebook.
Come spiegato da Kumar, la falla di sicurezza avrebbe potuto permette la rimozione di qualunque foto pubblicata negli aggiornamenti di stato, negli album, nei post suggeriti e persino nei commenti, senza che l’autore delle immagini venisse in alcun modo informato.

Il team di Facebook ha inizialmente risposto sostenendo di non riuscire a riprodurre il problema segnalato. A quel punto, Kumar ha realizzato un video spiegando passo-passo in che modo avrebbe potuto fare razzia sul profilo pubblico di Mark Zuckerberg. La lacuna che, come si vede, era tra l’altro piuttosto semplice da sfruttare, è stata quindi risolta dal team di Facebook.