حفره‌ای که اجازه حذف هر ویدئویی را روی فیس‌بوک می‌دهد!

یک محقق امنیتی توانسته‌ است یک آسیب‌پذیری‌ را کشف کند که می‌توان برای حذف ویدئوهای فیس‌بوک از آن استفاده کرد. این شبکه اجتماعی بزرگ چند ساعت بعد از اینکه از این موضوع خبردار شد وصله‌ای موقتی برای آن منتشر کرد. فیس‌بوک اخیراً از وجود ویژگی جدیدی خبر داد که به کاربران اجازه می‌دهد در قسمت نظرات ویدئو بگذارند. چند ساعت پس از اینکه این اطلاعیه منتشر شد، محققی هندی به نام پراناو هیوارکار شروع به بررسی این ویژگی کرد و حفره‌ای در آن پیدا کرد که با سوءاستفاده از آن می‌توان ویدئوها را توسط درخواست‌های API از این شبکه اجتماعی حذف کرد.

طبق گفته این متخصص، وقتی کاربران بخواهند یک ویدئو را به نظری اضافه کنند، ویدئو روی حسابشان بارگذاری می‌شود و با یک شناسه video-id مشخص می‌شود. مشکل اینجاست که وقتی کاربران بخواهند نظری که ویدئویی به آن پیوست شده را حذف کنند، سامانه‌های فیس‌بوک بررسی نمی‌کند که آیا این کاربر صاحب واقعی ویدئو است یا خیر.
مهاجمی که بتواند با استفاده از شناسه video-id مورد نظر، ویدئویی را به نظری بیفزاید وقتی که بخواهد آن نظر را حذف کند، ویدئوی اصلی نیز حذف می‌شود حتی اگر آن ویدئو متعلق به مهاجم نباشد. هیوارکار یافته‌های خود را با استفاده از Graph API فیس‌بوک به نمایش گذاشته ‌است.

این آسیب‌پذیری در روز ۱۰ ژوئن به فیس‌بوک گزارش داده ‌شد. دو ساعت پس از این گزارش و طی ۳۰ دقیقه بعد از اینکه این آسیب‌پذیری تائید شد، فیس‌بوک وصله‎ای موقتی برای آن بیرون داد. وصله ثابت آن نیز چند روز پس از آن منتشر شد.
این محقق نگفت که چه مبلغی بابت این گزارشش از فیس‌بوک دریافت کرده اما گفت که این مبلغ پنج‌رقمی بوده‌ است.

فیس‌بوک از زمان اجرای برنامه پاداش‌دهی در سال ۲۰۱۱ تاکنون بیش از ۴.۳ میلیون دلار پرداخت کرده ‌است. فهرست محققانی که امسال از شرکت این رسانه اجتماعی پولی دریافت کرده‌اند شامل افراد زیر است: لونات کرنیکا که ۵۰۰۰ دلار بابت رخنه‌ای دریافت کرد که از آن برای جعل هویت کاربران استفاده می‌شد، آناند پراکاش که ۱۵۰۰۰ دلار برای یک خطای تنظیم دوباره کلمه‌ عبور دریافت کرد و جک هیتون که ۷۵۰۰ دلار برای حفره‌ای دریافت کرد که به مهاجمان اجازه سوءاستفاده از حساب کاربران را می‌داد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.