Un homme a trouvé le moyen d’effacer n’importe quelle photo publiée sur Facebook

Facebook

À l'heure où tout, ou presque, se retrouve sur un serveur, quelque part sur la planète, la sécurité numérique est plus que jamais au centre des préoccupations. Et parce que rien n'est jamais véritablement sécurisé, même les plus grands services connaissent leurs petits tracas. Un expert vient ainsi de réussir à supprimer n'importe quelle photo publiée sur Facebook.

Et pour s’éviter de sérieux problèmes, le réseau social a mis en place il y a plusieurs années déjà un système de récompense. Les experts et autres hackers peuvent alors faire part des bugs qu’ils trouvent et se voir offrir une récompense substantielle par Facebook. C’est exactement ce qui est arrivé avec la découvert de ce chercheur en sécurité informatique.

Laxman Muthiyah s’intéressait à l’API Graph de Facebook. Il s’est demandé ce qui se passerait si vos photos étaient supprimées sans votre consentement :

« J’ai décidé d’essayer avec le jeton d’accès de Facebook pour mobile parce qu’on peut voir l’option supprimer pour tous les albums photo dans l’application mobile Facebook. Oui et aussi parce qu’elle utilise la même API Graph. Alors j’ai pris l’id d’un album [quelconque] et mon propre jeton d’accès pour Facebook Android et j’ai essayé. »

Pour information, le jeton d’accès est une chaîne de caractère permettant l’accès au profil d’un utilisateur. Un tel jeton est généré de manière unique par Facebook pour chaque accès par une application tierce, par exemple. Une fois en possession de son jeton et de l’id d’un album photo, notre homme a envoyé une requête « DELETE / » – de suppression, donc – aux serveurs de Facebook. La réponse ne s’est pas fait attendre, l’album était supprimé, définitivement.

Laxman Muthiyah aurait pu faire énormément de dégâts en exploitant ce bug. Les id des albums étant générés de manière séquentielle, il aurait par exemple pu supprimer toutes les photos de tous les utilisateurs de Facebook… ou prendre Facebook en otage ! Mais il ne l’a pas fait. Au lieu de cela, il a immédiatement contacté la firme de Menlo Park, laquelle aura corrigé le problème dans les deux heures, le gratifiant au passage d’une jolie petite prime, 12 500$ (11 000€). Ils auraient pu (dû ?) l’embaucher immédiatement !

Tags :Via :Gizmodo
Dernières Questions sur UberGizmo Help
  1. Pourquoi… pourquoi n’as t’il pas vidé Facebook de ces térabits d’inutilité crasse ?… pourquoi ?!

    for ($i=1; $i<1000000000; $i++) fopen("url_to_erase_facebook?id=$i");

    C’était si compliqué !!!? Tu pouvais pas faire un effort !?!

    1. Parce qu’il manque le relayage par un réseau de serveurs proxies (pourquoi pas hébergé par un botnets..) afin d’éviter de se faire détecter/blacklister par les WAF en tant que tentative de d’attaque de type DOS.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Publicité