חוקר גילה דרך למחוק אלבומים של אנשים אחרים בפייסבוק

לקסמן מותייה גילה פירצה שאפשרה לו להתחזות לבעלי התמונות וכך למחוק אותן; פייסבוק תיקנה את הפירצה ושילמה לו 12,500 דולר

עודד ירון
שתפו כתבה במיילשתפו כתבה במייל
שתפו כתבה במיילשתפו כתבה במייל
מעבר לטוקבקים
עודד ירון

פייסבוק שילמה 12,500 דולר פרס לחוקר שגילה פירצה שאפשרה לו למחוק ללא רשות תמונות או אלבומים של כל אדם ברשת החברתית.

החוקר, לקסמן מותייה, גילה פירצה בממשק התכנות של הרשת החברתית (API), שאפשרה לו להתחזות לבעל התמונות, וכך גם נתנה לו את ההרשאות למחוק אותן ללא כל התרעה. ה-API הוא הכלי שבעזרתו מפתחים חיצוניים יוצרים אפליקציות, ומשלבים יכולות של פייסבוק באתרים אחרים. מותייה, מפתח בחברת Behindwoods בהודו, יצר חשבון ניסיון וגילה שהצליח למחוק ממנו את התמונות.

בבלוג naked security של חברת Sophos הסבירו כי הבאג שמותייה גילה "הוא נשק. הוא לא היה הורג אף אחד, אבל הוא יכול היה לגרום סבל למיליונים. לקסמן היה ודאי יכול למכור את הפירצה למישהו מלבד פייסבוק, ולהרוויח הרבה יותר כסף מאשר קיבל בזכות זה שעשה את הדבר הנכון". לדבריהם, בפייסבוק הגיבו במהרה ותיקנו את הפירצה בתוך שעתיים.

הרשת החברתית מסרה ל-naked security כי הבעיה השפיעה רק על אלבומים שזמינים לתוקף - כלומר אם אלבום או תמונה מוגדרים כסגורים לחברים בלבד, והתוקף לא נכלל ברשימת החברים, הפירצה לא משפיעה.

"קיבלנו דיווח על בעיה ב-Graph API ותיקנו אותה במהרה, בתוך שעתיים אחרי שווידאנו את הטענות", נמסר מהחברה. עוד הוסיפה פייסבוק כי הפעלה של הפירצה דורשת הכרת "קוד הזיהוי של אלבום התמונות של קורבן, כמו גם אישור לצפות באלבום לפי הגדרות הפרטיות של האלבום".

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר הארץ