Un chercheur en sécurité indien a découvert une faille sur le réseau social Facebook lui permettant d’effacer l’intégralité des photos des utilisateurs sans leur accord.L’API Graph était vulnérable.
Laxman Muthiyah, chercheur en sécurité en Inde a découvert une faille dans l’API Graph de Facebook. Sur son site Internet, il explique comment l’outil mis à disposition des développeurs lui permettait de pirater une partie du réseau pour effacer les photos et les albums entiers des utilisateurs, sans leur accord préalable.
“N’importe quel album photo détenu par n’importe quel utilisateur du réseau social, groupe ou page peut être supprimé“, explique t-il. Grâce à la faille, il aurait potentiellement pu effacer l’intégralité des photos du réseau.
Pour appuyer ses dires, le chercheur a réalisé une vidéo dans laquelle il fait la démonstration de l’exploitation de cette faille en utilisant un jeton d’accès mobile de l’API :
Laxam Muthiyah a contacté Facebook pour prévenir les responsables de la sécurité du réseau de cette vulnérabilité avant de publier sa démonstration. En réponse, Facebook a colmaté la faille en quelques heures seulement et le chercheur a été remercié d’un chèque de 12 500 dollars dans le cadre de son programme de révélation de bugs “Bug Bounty”.
Selon Facebook, la faille n’aurait pas été exploitée avant d’être colmatée, si ce n’est par le chercheur lui même dans le cadre d’une démonstration. Le réseau compte actuellement plus de 2 milliards de photos partagées.
Source : GNT