Facebook-hiba: bárki, bármilyen videót törölhetett (volna)

Ötezer dollárt ért az a biztonsági hiba, amellyel a Facebookról tulajdonképpen bármely videót szabadon ki lehetett törölni.
 

A Facebook biztonsági kutatókat jutalmazó programja rendszeresen szolgál érdekességekkel. A legutóbb napvilágra került, közösségi oldalt érintő sérülékenység is egy igencsak komoly problémára világított rá, mivel a kihasználásával a feltöltött videók tulajdonképpen teljesen kiszolgáltatottá váltak. 

A hibára Dan Melamed, biztonsági kutató figyelt fel, aki a felfedezését még tavaly, június 29-én jelezte a Facebooknak. Természetesen minden technikai leírást megküldött a vállalatnak, és a hiba kihasználásához szükség információkat is átadta. A sérülékenység létezését napokon belül megerősítette a Facebook, és a biztonsági rést gyorsan be is foltozta. A kutató az esetet azonban csak a napokban hozta nyilvánosságra. 

Elég volt egy eseményoldal

A sérülékenység néhány lépésben volt kihasználható, méghozzá úgy, hogy ehhez semmiféle különös eszközre nem volt szükség. A hacker trükkje egy nyilvános esemény felvételével vette kezdetét, amelyre egy videót (vagy fényképet) kellett feltölteni. A nyilvános eseményt a támadó (jelen esetben a biztonsági kutató) saját, vagy külön erre a célra regisztrált fiókból lehetett létrehozni. Ezt követően volt szükség az egyetlen külső szoftverre, jelesül a Fiddlerre, amivel a számítógép és a Facebook szervere közötti adatkommunikációt kellett naplózni. A kutató arra jött rá, hogy ha a videófeltöltés során elküldött webes kérés egyik paraméterében lecseréli a videó azonosítóját egy bármilyen Facebookon már fent lévő videóéval, akkor a rendszer azt - egy hibaüzenet ellenére - hozzákapcsolja az új eseményhez. A baj azzal volt, hogy ezt úgy tette meg, mintha a videó tulajdonosává az esemény gazdája vált volna. Így aztán amikor az etikus hacker kitörölte az eseményoldaláról a videót, akkor az 20-30 másodperc elteltével az eredeti oldalról is eltűnt.

Tehát egy teljesen szokványos eseményoldalon keresztül bárkinek a videója kitörölhetővé vált, ehhez csak az adott videó facebookos azonosítójára volt szükség. Ez az azonosító azonban különösebb nehézségek nélkül megszerezhető, akár URL-ekből is.
A Facebook a gyors hibajavítás mellett nem feledkezett meg a biztonsági kutató jutalmazásáról sem, aki a felfedezésének és az etikus módon történő vizsgálatának köszönhetően ötezer dollárral lett gazdagabb.