Lek maakte wissen van alle foto's op Facebook mogelijk

Door een fout van Facebook was het mogelijk om relatief eenvoudig alle foto’s op het sociale netwerk te wissen zonder in te hoeven loggen bij specifieke gebruikers.

Dat ontdekte beveiligingsonderzoeker Laxman Muthiyah deze week.

Via de zogeheten Graph API, een programma waarmee websites en apps een integratie met Facebook kunnen bouwen, was het mogelijk om willekeurige fotoalbums te wissen.

Het programma zou normaal geen toegang moeten hebben tot deze vergaande handelingen, maar Muthiyah ontdekte per toeval dat dit wel zo was. Hij kon in de Graph API een paar eenvoudige regels code invoeren en zo in potentie alle albums op Facebook wissen.

DELETE /<victim's album id> HTTP/1.1 Host : graph.facebook.com Content-Length: 245 access_token=<attacker's Facebook for Android token>

In de bovenstaande code vulde Muthiyah onder ‘victim’s album id’ de unieke code van een willekeurige fotoalbum in en bij ‘attacker’s Facebook for Android token’ werd een code ingevuld om te bewijzen dat de gebruiker van de Graph API van een app gebruikmaakt.

Potentieel gevaar

Nu worden er 350 miljoen foto’s per dag op Facebook gezet en was het voor een ontdekker met kwaad in de zin dus niet mogelijk om daar in zijn eentje tegenop te boksen.

Beveiligingsbedrijf Sophos speculeert echter al dat een groot botnet van computers grote schade had kunnen aanrichten. In een botnet zijn computers geïnfecteerd en doen ze wat de 'hoofdcomputer' ze opdraagt. Het is eenvoudig om de computers vervolgens automatisch nummers te laten invoeren beginnend bij nummer 1.

Beloning

Muthiyah had echter geen kwaad in de zin en meldde het lek bij Facebook, zo meldt hij in een blog. Binnen twee uur kreeg hij reactie dat het probleem was opgelost en bedankte het bedrijf hem voor de melding. Hij krijgt tevens 12.500 dollar voor het melden van het lek.

Dit is wat Facebook doet met uw privégegevens

Lees meer over:
Tip de redactie