Dat ontdekte beveiligingsonderzoeker Laxman Muthiyah deze week.
Via de zogeheten Graph API, een programma waarmee websites en apps een integratie met Facebook kunnen bouwen, was het mogelijk om willekeurige fotoalbums te wissen.
Het programma zou normaal geen toegang moeten hebben tot deze vergaande handelingen, maar Muthiyah ontdekte per toeval dat dit wel zo was. Hij kon in de Graph API een paar eenvoudige regels code invoeren en zo in potentie alle albums op Facebook wissen.
DELETE /<victim’s album id> HTTP/1.1 Host : graph.facebook.com Content-Length: 245 access_token=<attacker’s Facebook for Android token>
In de bovenstaande code vulde Muthiyah onder ‘victim’s album id’ de unieke code van een willekeurige fotoalbum in en bij ‘attacker’s Facebook for Android token’ werd een code ingevuld om te bewijzen dat de gebruiker van de Graph API van een app gebruikmaakt.
Potentieel gevaar
Nu worden er 350 miljoen foto’s per dag op Facebook gezet en was het voor een ontdekker met kwaad in de zin dus niet mogelijk om daar in zijn eentje tegenop te boksen.
Beveiligingsbedrijf Sophos speculeert echter al dat een groot botnet van computers grote schade had kunnen aanrichten. In een botnet zijn computers geïnfecteerd en doen ze wat de ‘hoofdcomputer’ ze opdraagt. Het is eenvoudig om de computers vervolgens automatisch nummers te laten invoeren beginnend bij nummer 1.
Beloning
Muthiyah had echter geen kwaad in de zin en meldde het lek bij Facebook, zo meldt hij in een blog. Binnen twee uur kreeg hij reactie dat het probleem was opgelost en bedankte het bedrijf hem voor de melding. Hij krijgt tevens 12.500 dollar voor het melden van het lek.