Mange milliarder billeder på Facebook kunne potentielt være blevet slettet, da sikkerhedsresearcher Laxman Muthiyah fandt en sårbarhed i Facebooks Graph API, det skriver Hotforsecurity.com.
Facebooks Graph API er den primære måde, at Facebook apps får adgang til og poster indhold på din konto, men det er meningen, at det skal være begrænset, hvad Graph API skal kunne tillade.
For eksempel skal den ikke tillade, at offentlige Facebook fotoalbummer bliver slettet.
I sin research prøvede Laxman Muthiyah, at slette et af hans egne fotoalbums ved at bruge API’en , og blev, som det er meningen, afvist.
De fleste Graph API-anmodninger kræver, at man skal benytte en slags adgangspolet, hvilket Laxman Muthiyah også gjorde, men Facebook afviste stadig - helt rigtigt - hans anmodning om at slette fotoalbummet.
I stedet prøvede sikkerhedsresearcheren, at bruge en anden slags adgangspolet, som bliver benyttet af Facebooks Android applikation. Denne gang virkede det, og albummet med billeder blev slettet.
Derfor testede Laxman Muthiyah med det samme, om han også kunne slette andre brugeres albummer - hvilket også lykkedes.
Efter hans succesfulde forsøg kontaktede researcheren Facebooks sikkerhedsteam og oplyste om fejlen.
Facebook var hurtige til at reagere og havde inden for to timer rettet fejlen.
Laxman Muthiyah kan se frem til en fejl-bonus fra Facebook på 12.500 dollars for at have fundet fejlen.
I en youtube-video demonstrerer Laxman Muthiyah fejlen i aktion.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
