Уязвимость в Facebook позволяла удалить любую фотографию

[душман]

Исследователь безопасности Поуя Дараби обнаружил опасную уязвимость в функции создания опросов с изображениями и GIF-анимациями, представленной Facebook в начале ноября текущего года.

При создании опроса на серверы Facebook отправлялся запрос, включающий идентификаторы файлов прикрепленных к опросу изображений. Эксперт заметил, что пользователи могут заменить идентификатор изображения в запросе на идентификатор любой фотографии на Facebook, после чего данная фотография появится в опросе. После того, как создатель опроса удаляет сообщение, изображение, чей идентификатор был добавлен в запрос, также удаляется из Facebook.

Специалист уведомил Facebook об уязвимости 3 ноября 2017 года. Временное исправление было выпущено в тот же день. 5 ноября 2017 года компания выпустила полноценный патч.

По словам Дараби, за его находку Facebook выплатила $10 тыс. по программе вознаграждения за поиск уязвимостей. Данный случай уже не первый, когда Дараби получил вознаграждение от Facebook. В 2015 году компания выплатила ему $15 тыс. за обход систем защиты от межсайтовой подделки запроса (Сross Site Request Forgery, CSRF). В 2016 году он заработал еще $7500 долларов за обнаружение похожей проблемы.