 | |
| Fonte: TecMundo |
Vulnerabilidade permitia que qualquer pessoa deletasse a foto de outro usuário com incrível facilidade.
O especialista em segurança Arul Kumar afirma ter recebido nada menos
do que US$ 12,5 mil como recompensa após ter denunciado uma
vulnerabilidade gravíssima aos engenheiros responsáveis pelo Facebook.
O indiano encontrou um método inacreditavelmente simples de apagar
fotos de qualquer usuário da rede social sem que o próprio percebesse – a
falha era tão crítica que Kumar resolveu gravar um vídeo explicando
como o truque funciona.
A primeira etapa para explorar o bug era criar uma solicitação para
que os moderadores do Facebook removessem uma imagem qualquer, não
necessariamente de sua vítima. Como a fotografia visada não será apagada
pela equipe da rede social (por não conter conteúdos ofensivos), você
será aconselhado a enviar uma mensagem para que o utilizador remova a
imagem por si mesmo.
Aí que está o golpe: tal mensagem, por padrão, possui uma URL que
será enviada ao dono da foto para que o próprio delete-a
automaticamente. O problema é que você pode editar esse link
manualmente, trocando os valores “profile_id” e “photo_id” – que
correspondem, respectivamente, ao usuário que receberá a mensagem e ao
código de identificação da imagem a ser apagada.
Você já deve ter entendido: basta inserir o profile_id de um segundo
perfil seu e o photo_id do arquivo que você realmente planeja deletar.
No fim, você mesmo receberá a URL de exclusão e poderá apagar a imagem
sem que seu verdadeiro dono perceba.
 |
| fonte: http://arulxtronix.blogspot.in |
0 Comentários