Ind objevil závažnou chybu na Facebooku

Zpravodajství Web Ind objevil závažnou chybu na Facebooku

Arun Sureshkumar byl přidán na seznam uživatelů, kteří objevili a upozornili Facebook na nějakou závažnou chybu a v rámci programu "bug bounty" obdrželi odměnu (v tomto případě Arun dostal 16 tisíc dolarů jako poděkování).

"Zero-day" bug umožňoval útočníkovi převzít a smazat jakoukoliv Facebookovou stránku. Stránky jsou důležité hlavně pro obchody, organizace, společnosti apod.

Služba Facebooku pro správu stránek se jmenuje Facebook Business Manager a tam lze např. přidávat nebo odebírat práva uživatelům ve věci správy stránek apod.

Ke zneužití bugu v tomto případě stačily dva různé Facebook Business účty a znát jejich unikátní ID (lze ho vidět v URL stránky). Pak je nutné s jedním účtem přiřadit nějaké práva druhému účtu. HTTP Požadavek, který se pak odešle, obsahuje čtyři údaje. parent_business_id, agency_id, asset_id a role. Arun zjistil, že v nich stačí jen přepsat ID účtu a je to.

Pro lepší pochopení chyby také vzniklo video, které je však anglicky.

Arun popsal chybu Facebooku a ten ji hned další den opravil. Na Facebooku obecně bylo v poslední době nalezeno a opraveno mnoho bezpečnostních nedostatků. V dubnu například jistý Arne Swinnen objevil způsob, jak se zmocnit libovolného Instagram účtu. V únoru 2015 zase jistý Laxman Muthiyah objevil, jak smazat libovolnou fotku z Facebooku. Naštěstí všechny chyby byly doposud nalezeny lidmi, kteří měli zájem o jejich opravu. Můžeme doufat, že to tak ještě dlouho zůstane.

Zdroj: Naked Security


 

  Aktivity (1)

Zprávu pro vás napsal Filip Matthias Lukl 20. září 14:17
Avatar
Autor momentálně pracuje jako překladatel v jedné malé velké společnosti. A také rád píše...

Miniatura
Všechny články v sekci
Zprávy ze světa internetu

 

 

Komentáře

Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zatím nikdo nevložil komentář - buď první!