به گزارش
گرداب، این شبکه اجتماعی بزرگ چند ساعت بعدازاینکه از این موضوع خبردار شد وصلهای موقتی برای آن منتشر کرد. فیسبوک اخیراً از وجود ویژگی جدیدی خبر داد که به کاربران اجازه میدهد در قسمت نظرات ویدئو بگذارند. چند ساعت پسازاینکه این اطلاعیه منتشر شد، محققی هندی به نام پراناو هیوارکار شروع به بررسی این ویژگی کرد و حفرهای در آن پیدا کرد که با سوءاستفاده از آن میتوان ویدئوها را توسط درخواستهای API از این شبکه اجتماعی حذف کرد.
طبق گفته این متخصص، وقتی کاربران بخواهند یک ویدئو را به نظری اضافه کنند، ویدئو روی حسابشان بارگذاری میشود و با یک شناسه video-id مشخص میشود. مشکل اینجاست که وقتی کاربران بخواهند نظری که ویدئویی به آن پیوست شده را حذف کنند، سامانههای فیسبوک بررسی نمیکند که آیا این کاربر صاحب واقعی ویدئو است یا خیر.
مهاجمی که بتواند با استفاده از شناسه video-id موردنظر، ویدئویی را به نظری بیفزاید وقتیکه بخواهد آن نظر را حذف کند، ویدئوی اصلی نیز حذف میشود حتی اگر آن ویدئو متعلق به مهاجم نباشد. هیوارکار یافتههای خود را با استفاده از Graph API فیسبوک به نمایش گذاشته است.
این آسیبپذیری در روز ۱۰ ژوئن به فیسبوک گزارش داده شد. دو ساعت پسازاین گزارش و طی ۳۰ دقیقه بعدازاینکه این آسیبپذیری تائید شد، فیسبوک وصلهای موقتی برای آن بیرون داد. وصله ثابت آن نیز چند روز پسازآن منتشر شد.
این محقق نگفت که چه مبلغی بابت این گزارش از فیسبوک دریافت کرده اما گفت که این مبلغ پنجرقمی بوده است.
فیسبوک از زمان اجرای برنامه پاداشدهی در سال ۲۰۱۱ تاکنون بیش از ۴.۳ میلیون دلار پرداخت کرده است. فهرست محققانی که امسال از شرکت این رسانه اجتماعی پولی دریافت کردهاند شامل افراد زیر است: لونات کرنیکا که ۵۰۰۰ دلار بابت رخنهای دریافت کرد که از آن برای جعل هویت کاربران استفاده میشد، آناند پراکاش که ۱۵۰۰۰ دلار برای یک خطای تنظیم دوباره کلمه عبور دریافت کرد و جک هیتون که ۷۵۰۰ دلار برای حفرهای دریافت کرد که به مهاجمان اجازه سوءاستفاده از حساب کاربران را میداد.
منبع: news.asis.io