Après la découverte de la faille sur la sécurité de Facebook du hacker Palestinien Khalil Shreateh, c'est au tour d'Arul Kumar de mettre le doigt sur une faiblesse du numéro un des réseaux sociaux.
Sur son blog, le chercheur en sécurité parle d'un bogue qui permettrait à n'importe qui de supprimer à peu près n'importe quelle photo de Facebook sans tenir compte de l'auteur de la publication. La faille se trouve précisément dans un des menus de paramétrage (Support Dashboard) qui permet à un utilisateur de voir l'état des rapports qu'il a envoyés pour examen (par exemple pour des profils ou photos inappropriés ou des spams). Elle est exploitable de n'importe quel navigateur, mobile compris.
Lors du processus, un lien est généré automatiquement et il provoquait la suppression automatique de l'image après un clic dessus. Arul Kumar avait donc trouvé le moyen d’envoyer cette requête à un autre destinataire et pouvait ainsi supprimer à volonté des photos diffusées sur le réseau social. Pour cela l’attaquant avait besoin de l’identifiant de la photo et de l’ID de l’utilisateur (disponible sur le Facebook Graph).
Les termes du programme White Hat de Facebook prévoient que ceux qui trouvent des failles dans la sécurité et suivent les règles de Facebook dans le rapport des bogues perçoivent une récompense. La récompense minimale est de 500 dollars et, en fonction du degré de sévérité de la faille, Facebook peut payer plus. La plupart des paiements de Facebook ont oscillé autour de 1 500 dollars. Pourtant Arul Kumar a reçu une récompense de 12 500 dollars pour sa recherche qui a permis à l'équipe de corriger la faille dans la sécurité, soit 25 fois la prime de base.
Source : blog Arul Kumar
Et vous ?
Qu'en pensez-vous ?
Facebook : un chercheur découvre une faille permettant d'effacer n'importe quelle photo
Il reçoit une prime de 12 500 dollars
Facebook : un chercheur découvre une faille permettant d'effacer n'importe quelle photo
Il reçoit une prime de 12 500 dollars
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !