תמונות הפייסבוק שלכם לא בטוחות

באג שהתגלה לאחרונה בפייסבוק מאפשר להאקרים למחוק תמונות של משתמשים אחרים ברשת החברתית באמצעות שורה אחת של קוד. ספציפית, הבאג רלוונטי רק לתמונות שההאקרים יכולים לראות - כלומר תמונות פומביות או של אנשי קשר משותפים. את הפרצה מצא חוקר האבטחה לקסמן מות'יה, אשר דיווח לחברה על הבאג במהלך סוף השבוע האחרון. החברה אישרה את הפרטים ודיווחה כי תיקנה את התקלה.

מות'יה סיפר כי לפני תיקון הפירצה, האקרים יכלו למחוק בקלות תמונות בודדות או אלבומי תמונות שלמים של כל משתמש, דף או קבוצה ברשת החברתית. באופן ספציפי, התקלה הייתה בממשק כלי הפיתוח Graph API, שדרכו אפליקציות פייסבוק של חברות צד-שלישי יכולות להתחבר למסד הנתונים של פייסבוק.

הטכניקה הפשוטה של מות'יה כללה שימוש ב-Graph API, ששולח בקשה לשרתי פייסבוק תוך שימוש במספר הזיהוי של המשתמש המותקף (שאינו סודי וזמין לכולם) ומספר הקטלוג של התמונה (שגם הוא אינו סודי, כל עוד ההאקר יכול לגשת לתמונה). מות'יה מספר שעל ההאקר גם להשתמש בטוקן הזיהוי של אפליקציית אנדרואיד הרשמית של פייסבוק, שרק דרכה ניתן לבצע מחיקת תמונות דרך מכשיר הסלולר.

לדברי מות'יה, פייסבוק תיקנה את הפירצה בתוך דקות וככל הידוע לה, אף האקר לא ניצל אותה לרעה. הוא גם קיבל פרס בגובה 12.5 אלף דולר - פייסבוק, גוגל, מיקרוסופט וחברות טכנולוגיה אחרות מציעות פרסים כספיים יקרי ערך להאקרים המסייעים להם לאתר באגים ופירצות אבטחה. עד כה הרשת החברתית תיגמלה למעלה מ-700 האקרים לאורך השנים.