mboost-dp1

Facebook

Fandt metode til at slette alle billeder på Facebook

- Via 7xter - , redigeret af Net_Srak

I sidste uge kom det frem, at Facebook havde et stort sikkerhedshul, der potentielt kunne have forårsaget, at utallige billeder på det social medie kunne være blevet slettet.

Sikkerhedseksperten Laxman Muthiyah opdagede, at ved at benytte sig af Facebooks Graph API til Android så var det muligt at slette et hvilket som helst billedealbum på Facebook.

Først havde han prøvet med udgaven til pc, men fik her af vide, at det ikke kunne lade sig gøre, da API’et ikke havde tilladelse. Samme sikkerhed var ikke tilstede i Android-udgaven, så her lykkedes handlingen.

Alle billedealbums identificeres med en lang talstreng, der kan ses i url’en når man er inde på et album. Ved at angive denne i API’et sammen med en adgangstoken, så kunne albummet slettes, ligegyldigt om man var ejer af albummet eller ej.

Muthiyah anmeldte omgående fejlen til Facebook og to timer senere kunne de oplyse, at hullet var lukket. Som tak for at melde fejlen, fik han udbetalt en dusør på 12.500 dollars.

Du kan ses en video herunder hvor Muthiyah demonstrere fejlen.





Gå til bund
Gravatar #1 - CBM
18. feb. 2015 12:23
Kudos til facebook at de giver manden en dusør og derefter lukker hullet.

Det er der andre firmaer (og regeringer) der kunne lære noget (MEGET) af....
Gravatar #2 - PHP-Ekspert Thoroughbreed
18. feb. 2015 12:35
#1

Og kudos til manden, for at sige det til Facebook. Endeligt et godt "ry" til en whitehat.

Han kunne lige så godt have smidt det på reddit, 4chan eller lignende, og så var helvede løs.
Gravatar #3 - NeoNmaN
18. feb. 2015 12:47
#2) Mund ikke at FB har backup? i så fald vil han ende i spjælet og alle de gjore det oven i købet også hvis man fandt frem til dem, + FB ville være nede et pr timer og så er de oppe igen med alt igen + patch til hullet.

Så det han har gjort er det enste rigtig, for han vil nødig betale tabt indtægt i den periode siden har været måtte tages ned på grund af sikkerhedesbrist.

Så alt alt gjore han 100% det rigtige for det er også delvis hans egen fremtid han leger med.
Gravatar #4 - Adam Hansen
18. feb. 2015 12:50
Syg fejl at finde! Og ja dusøren burde vel egentlig være større, når man tager de mulige skader i betragtning, som hullet kunne have medført.

Facebook skal de prise sig lykkelige for, at det var en ærlig og redelig mand som fandt fejlen. Stort klap på skulderen til ham!!
Gravatar #5 - noisycricket
18. feb. 2015 15:05
skader? altså nu er det jo bare billeder og ikke EPJ vi snakker om..
Gravatar #6 - hal
18. feb. 2015 17:46
Pyha - 30 milliarder billeder af kæledyr, middagsmad og delvist ude af fokus selfies kan ånde lettet op!
OT: Temmelig alvorligt hul - Gætter på nogen har voldsomt travlt med at krydschecke API mellem platforme :)
Gravatar #7 - Alastor
19. feb. 2015 08:54
#3 Spjældet? Det er vel ikke ulovligt at fortælle om en fejl man har opdaget, det er kun forbudt at benytte den.

Ikke sikker på hvad straffen overhovedet ville være for at have slettet et par billeder på FB?
Gravatar #8 - PHP-Ekspert Thoroughbreed
19. feb. 2015 09:43
#7

Det er ikke det at der er slettet et par billeder, der er det strafbare. At han derimod har brudt ind/udnyttet en svaghed er strafbart.

Du bliver heller ikke dømt for om du tog 50 eller 5.000 kr fra mig, men om det var et tyveri eller røveri
Gravatar #9 - gramps
19. feb. 2015 10:10
PHP-Ekspert Thoroughbreed (2) skrev:
Og kudos til manden, for at sige det til Facebook. Endeligt et godt "ry" til en whitehat.


Er det ikke netop det, som alle whitehats gør -- fortæller det til virksomheden og venter indtil de laver full disclosure?
Gravatar #10 - PHP-Ekspert Thoroughbreed
19. feb. 2015 10:22
gramps (9) skrev:
Er det ikke netop det, som alle whitehats gør -- fortæller det til virksomheden og venter indtil de laver full disclosure?


Jo, men når man hører om en hacker i medierne, er det ofte noget negativt. 99% ved ikke hvad forskellen på en whitehat og en blackhat er
Gravatar #11 - DrHouseDK
19. feb. 2015 11:33
PHP-Ekspert Thoroughbreed (10) skrev:
Jo, men når man hører om en hacker i medierne, er det ofte noget negativt. 99% ved ikke hvad forskellen på en whitehat og en blackhat er


Nu skal du ikke gøre folk dummere end de er. Den ene har en hvid hat på, den anden har en sort hat på. Altså.
Gravatar #12 - Lowkey
19. feb. 2015 11:43
PHP-Ekspert Thoroughbreed (2) skrev:
Han kunne lige så godt have smidt det på reddit, 4chan eller lignende, og så var helvede løs.


Han syntes nok at $12.500 var sjovere endat lade 4chan abe sig rundt og lege "hacktivists".
Gravatar #13 - Vandmand
19. feb. 2015 14:04
#11

Hvad er Red Hat så? Det kan jeg ikke lige gennemskue.
Gravatar #14 - snesman
19. feb. 2015 15:02
Grey hats har jeg også hørt.
Gravatar #15 - NeoNmaN
19. feb. 2015 15:28
#13) et OS ;)
Gravatar #16 - gramps
20. feb. 2015 13:16
#13
Dem, som fik sine røde vinger på en ... interessant måde.
Gravatar #17 - CBM
23. feb. 2015 07:55
<joke comment="Just in case">

#11,#13,#14

Det er pudsigt som hatte er blevet populære blandt hackere... og så i alle de farver, grå, hvid, sort, rød... mon der også er nogle der går med grønne hatte ?

</joke>

Sidder og tænker at han burde egentlig have skredet il handling og slettet alle billederne på fjæsbogen... Så havde han gjort MANGE mennesker en tjeneste på den måde.

Eller i det mindste givet folk muligheden for at få deres billeder slettet gennem ham.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login