حفره‌ای که اجازه حذف هر ویدئویی را روی فیس‌بوک می‌دهد

به گزارش واحد امنیت سایبربان؛ این شبکه اجتماعی بزرگ چند ساعت بعدازاینکه از این موضوع خبردار شد وصله‌ای موقتی برای آن منتشر کرد. فیس‌بوک اخیراً از وجود ویژگی جدیدی خبر داد که به کاربران اجازه می‌دهد در قسمت نظرات ویدئو بگذارند. چند ساعت پس‌ازاینکه این اطلاعیه منتشر شد، محققی هندی به نام پراناو هیوارکار شروع به بررسی این ویژگی کرد و حفره‌ای در آن پیدا کرد که با سوءاستفاده از آن می‌توان ویدئوها را توسط درخواست‌های API از این شبکه اجتماعی حذف کرد.

 طبق گفته این متخصص، وقتی کاربران بخواهند یک ویدئو را به نظری اضافه کنند، ویدئو روی حسابشان بارگذاری می‌شود و با یک شناسه video-id مشخص می‌شود. مشکل اینجاست که وقتی کاربران بخواهند نظری که ویدئویی به آن پیوست شده را حذف کنند، سامانه‌های فیس‌بوک بررسی نمی‌کند که آیا این کاربر صاحب واقعی ویدئو است یا خیر.

مهاجمی که بتواند با استفاده از شناسه video-id موردنظر، ویدئویی را به نظری بیفزاید وقتی‌که بخواهد آن نظر را حذف کند، ویدئوی اصلی نیز حذف می‌شود حتی اگر آن ویدئو متعلق به مهاجم نباشد. هیوارکار یافته‌های خود را با استفاده از Graph API فیس‌بوک به نمایش گذاشته ‌است.

 این آسیب‌پذیری در روز ۱۰ ژوئن به فیس‌بوک گزارش داده ‌شد. دو ساعت پس‌ازاین گزارش و طی ۳۰ دقیقه بعدازاینکه این آسیب‌پذیری تائید شد، فیس‌بوک وصله‎ای موقتی برای آن بیرون داد. وصله ثابت آن نیز چند روز پس‌ازآن منتشر شد.

این محقق نگفت که چه مبلغی بابت این گزارش از فیس‌بوک دریافت کرده اما گفت که این مبلغ پنج‌رقمی بوده‌ است.

فیس‌بوک از زمان اجرای برنامه پاداش‌دهی در سال ۲۰۱۱ تاکنون بیش از ۴.۳ میلیون دلار پرداخت کرده ‌است. فهرست محققانی که امسال از شرکت این رسانه اجتماعی پولی دریافت کرده‌اند شامل افراد زیر است: لونات کرنیکا که ۵۰۰۰ دلار بابت رخنه‌ای دریافت کرد که از آن برای جعل هویت کاربران استفاده می‌شد، آناند پراکاش که ۱۵۰۰۰ دلار برای یک خطای تنظیم دوباره کلمه‌ عبور دریافت کرد و جک هیتون که ۷۵۰۰ دلار برای حفره‌ای دریافت کرد که به مهاجمان اجازه سوءاستفاده از حساب کاربران را می‌داد.