Így lehetett megsemmisíteni a facebookos albumokat

A Facebook elismerte, hogy soron kívül, meglehetősen nagy gyorsasággal kellett befoltoznia egy olyan biztonsági rést, amely albumok jogosulatlan törlését tehette lehetővé.
 

Hasonlóan több más nagy informatikai céghez, a Facebook is működtet egy olyan programot, amelynek keretében várja a biztonsági résekről szóló információkat. Amennyiben egy kutató ilyen módon jelez egy valóban veszélyes sebezhetőséget, és betartja az alapvető szabályokat, akkor a Facebook honorálja a diszkréciót és az elvégzett munkát. Ez történt néhány napja is, amikor 12.500 dollárral jutalmazta azt a Laxman Muthiyah nevű szakembert, aki egy súlyos sérülékenységre világított rá. 

Muthiyah a Facebook alkalmazások működésében és fejlesztésében fontos szerepet betöltő Graph API-t vette alaposabban is szemügyre. Ez esetben különösen az albumok és a fényképek kezelése érdekelte. A fantáziáját az mozgatta meg, hogy a Facebook fejlesztői dokumentációja szerint nem lehet albumokat törölni Graph API-n keresztül. Ezt természetesen kipróbálta, és azt tapasztalta, hogy a számítógépén lévő access tokennel valóban nem lehet törlést kezdeményezni. Ekkor azt a hibaüzenetet kapta, hogy az alkalmazás nem képes ilyen AP-hívást végrehajtani ("Application does not have the capability to make this API call"). Viszont felmerült benne a gondolat, hogy vajon más alkalmazás képes lehet-e rá. Ekkor egy mobil access tokennel kezdett kísérletezni az etikus hackerek körében is jól ismert Burb Suite segítségével. Hamar jött is a meglepetés, ugyanis a törlést gond nélkül végre tudta hajtani. Ráadásul kiderült, hogy ez a fajta törlési lehetőség minden nyilvánosan elérhető album esetében működőképes lehet. Ekkor értesítette a Facebookot a felfedezéséről.
"Egy olyan bejelentést kaptunk, amely a Graph API-t érintette. Az információk ellenőrzését követő két órán belül javítottuk a hibát. Világossá kell tennünk, hogy a hiba kihasználásához egy potenciális támadónak tudnia kellett volna a fényképalbum azonosítóját (ID-ját), valamint megfelelő engedélyekkel kellett volna rendelkeznie az albumhoz. Ugyanakkor köszönetet mondunk a kutatónak, aki jelentette a sebezhetőséget a jutalmazási programunkon keresztül" - közölte a Facebook. 

Noha a Facebook némileg megpróbálta elódázni a biztonsági rés valódi veszélyeit, azért meg kell említeni, hogy nem lett volna túlságosan nehéz továbbfejleszteni a trükköt olyan szintre, hogy az tömeges károkozásokhoz vezessen. Nyilván nem volt véletlen a sürgősséggel végrehajtott hibajavítás sem a Facebook berkein belül. 

Mark Stockley, a Sophos szakértője szerint a tömeges albumtörlésnek talán csak az tudott volna gátat szabni, ha a Facebook rendszerében van valamiféle korlátozás e művelet végrehajtására vonatkozóan. Arról azonban nincs információ, hogy az albumtörlések száma limitálva lenne. Ezért vélhetőleg csak azon múlt volna egy ilyen rombolás kiterjedése, hogy az elkövetőknek mennyi erőforrás állt volna rendelkezésükre. "A kérdés csak az, hogy hány lóerő lett volna, márpedig lőerőket szerezni az interneten gyerekjáték, gondoljunk csak a botnetekre" - vélekedett Stockley. További probléma, hogy az ilyen sérülékenységek ellen felhasználói oldalon nehéz védekezni. Most is csak az segíthetett volna, ha az albumok láthatósági, hozzáférési beállításait még időben szigorúbbra vették volna a közösségi oldal tagjai. Szerencsére azonban most időben fény derült a biztonsági résre, és külön öröm, hogy arra éppen egy etikus hacker akadt rá.