Otra vulnerabilidad en Facebook permitía a cualquiera eliminar tus fotos


Si cree que un sitio web cuyo valor es más de $ 500 mil millones no tiene ninguna vulnerabilidad, entonces está equivocado.

Pouya Darabi, un desarrollador web iraní, descubrió e informó una vulnerabilidad crítica pero directa en Facebook a principios de este mes que podría haber permitido a cualquier persona eliminar cualquier foto de la plataforma de redes sociales.

La vulnerabilidad reside en la nueva función de encuesta de Facebook, lanzada por el gigante de las redes sociales a principios de este mes, para publicar encuestas que incluyen imágenes y animaciones GIF.

Darabi analizó la función y descubrió que al crear una nueva encuesta, cualquier persona puede reemplazar fácilmente la ID de imagen (o URL gif) en la solicitud enviada al servidor de Facebook con la identificación de imagen de cualquier foto en la red social.

Ahora, después de enviar la solicitud con otra ID de imagen de usuario (cargada por otra persona), esa foto aparecerá en la encuesta.

“Cada vez que un usuario intente crear una encuesta, se enviará una solicitud que contenga la URL gif o la identificación de la imagen, poll_question_data [options] [] [associated_image_id] contiene la identificación de la imagen cargada”, dijo Darabi. “Cuando este valor de campo cambie a cualquier otra identificación de imágenes, esa imagen se mostrará en la encuesta”.

Aparentemente, si el creador de la encuesta elimina esa publicación (sondeo), como se demostró en el vídeo anterior, eventualmente eliminará también la foto de origen, cuya ID de imagen se agregó a la solicitud, incluso si el creador de la encuesta no posee esa foto.

El investigador dijo que recibió $ 10,000 como recompensa por recompensa de errores de Facebook después de que informara responsablemente esta vulnerabilidad a la red de medios sociales el 3 de noviembre. Facebook corrigió este problema el 5 de noviembre.

Esta no es la primera vez que se encuentra Facebook lidiando con tal vulnerabilidad En el pasado, los investigadores descubrieron e informaron varios problemas que les permiten eliminar vídeos , álbumes de fotos y comentarios y modificar mensajes desde la plataforma de redes sociales.

Darabi también ha sido galardonado previamente por Facebook con una recompensa de errores de $ 15,000 por eludir sus sistemas de protección contra falsificaciones de solicitudes entre sitios (CSRF) (en 2015) y otros $ 7,500 por un problema similar (en 2016).

Vía |thehackernews

log in

reset password

Back to
log in