Si cree que un sitio web cuyo valor es de más de $500 mil millones no tiene ninguna vulnerabilidad, entonces estás equivocado.
Pouya Darabi, un desarrollador web iraní, descubrió e informó una vulnerabilidad crítica pero directa en Facebook a principios de este mes que podría haber permitido a cualquier persona eliminar cualquier foto de la popular red social.
La vulnerabilidad reside en la nueva función de encuestas de Facebook, lanzada a principios de este mes de noviembre, para publicar encuestas que incluyen imágenes y animaciones GIF.
Darabi analizó la función y descubrió que al crear una nueva encuesta, cualquier persona puede reemplazar fácilmente la ID de la imagen (o el URL de la misma) en la solicitud enviada al servidor de Facebook con la identificación de imagen de cualquier foto en la red social.
Aquí un video dónde se detalla cómo explotar la vulnerabilidad:
Ahora, después de enviar la solicitud con otra ID de imagen de usuario (cargada por otra persona), esa foto aparecerá en la encuesta.
“Cada vez que un usuario intente crear una encuesta, se enviará una solicitud que contenga la URL de la imagen o la identificación de la imagen, poll_question_data [options] [] [associated_image_id] contiene la identificación de la imagen cargada“, dijo Darabi. “Cuando este valor de campo cambie a cualquier otra identificación de imágenes, esa imagen se mostrará en la encuesta“.
Aparentemente, si el creador de la encuesta la elimina, como se demostró en el video anterior, eventualmente eliminará también la foto de origen, cuya ID de imagen se agregó a la solicitud, incluso si el creador de la encuesta no es el propietario de la foto.
El investigador dijo que recibió $ 10,000 como recompensa por haber descubierto la vulnerabilidad, después de que informara de manera responsable de la misma a Facebook el 3 de noviembre. Facebook corrigió este problema el 5 de noviembre.
Esta no es la primera vez que se descubre que Facebook se enfrenta a este tipo de vulnerabilidades. En el pasado, los investigadores descubrieron e informaron varios problemas que les permitian eliminar videos, álbumes de fotos y comentarios o modificar mensajes desde la plataforma de Facebook.
Darabi también ha sido galardonado previamente por Facebook con una recompensa de caza de errores de $ 15,000 por eludir sus sistemas de protección contra falsificaciones de solicitudes entre sitios (en 2015) y otro de $ 7,500 por un problema similar (en 2016).