Facebook : un bug permettant de supprimer les albums photo a été signalé
L'entreprise a corrigé la faille dans les deux heures suivant l'alerte
Une vulnérabilité nouvellement découverte dans Facebook aurait pu permettre aux pirates de supprimer les albums photo des utilisateurs du réseau social d'un milliard d'utilisateurs.
Le réseau social de Mark Zuckerberg est probablement l'une des plus grandes bases de données de photos au monde et on compte en milliards, le nombre de photos partagées sur le réseau quotidiennement. Un pirate mal intentionné, ayant donc découvert une telle vulnérabilité, ne se serait pas ennuyé à faire disparaître des albums photo ciblés.
Heureusement pour le réseau social bleu, le bug est tombé entre de bonnes mains. Laxman Muthiyah, l'ingénieur qui a découvert la faille l'a exploitée pour supprimer son propre album et celui d'un utilisateur. Son objectif était de montrer à l'entreprise de Mark Zuckerberg que la faille est bel et bien réelle. « L'album a été supprimé! Donc j'ai obtenu la clé pour effacer toutes vos photos sur Facebook », a déclaré Muthiyah. « Tout album photo appartenant à un utilisateur, une page ou un groupe pourrait être supprimé », a-t-il précisé.
Il est parvenu à supprimer les albums photo en utilisant l'API Graph de Facebook. « API Graph est le principal moyen pour les développeurs de lire et écrire les données des utilisateurs. Toutes les applications Facebook utilisent API Graph. En général, API Graph nécessite un jeton d'accès pour lire ou écrire des données des utilisateurs. » A-t-il écrit.
Muthiyah a été en mesure d'utiliser un jeton d'accès mobile pour l'API, pour supprimer même les albums photo qui n'étaient pas les siens. Il a ensuite publié une vidéo dans laquelle il montre les détails de la vulnérabilité et a informé Facebook de l'existence de la faille.
L'entreprise a réagi promptement de sorte que dans les 2 heures suivant l'alerte, un correctif ait été développé pour colmater la brèche. Elle a en retour versé une prime de 12 500 dollars USD pour récompenser le chercheur pour sa découverte.
Toutefois, Facebook a tenu à préciser les limites de la faille. Le réseau social affirme que le problème ne pouvait pas permettre à quelqu'un de se connecter à un autre compte, ni même visionner certaines parties du compte d'une autre personne. Il précise que le bug n'aurait pu être exploité qu'à condition que le pirate ait accès aux photos, c'est-à-dire seules les photos publiques pouvaient être supprimées.
« Nous avons reçu un rapport sur un problème avec notre API Graph et l'avons rapidement corrigé dans un délai de deux heures de vérification des déclarations. Pour être clair, le déclenchement de ce problème aurait exigé l'ID de l'album photo cible, ainsi que l'autorisation d'afficher l'album, qui est basée sur les paramètres de confidentialité de l'album. » A déclaré un porte-parole de l'entreprise de Mark Zuckerberg.
Sources : Laxman Muthiyah via 7xter, Naked Security
Et vous?
Qu'en pensez-vous?
L'exploitation de la faille aurait-elle pu procurer un meilleur gain?
Partager