一名自称为“有志于道德黑客行为的安全热心者”的印度电子和通信工程师表示,他已发现了 Facebook 的一个漏洞,这个漏洞允许该网站上的任何照片在其所有者不知情的情况下被删除。
这位 21 岁的工程师名叫艾鲁尔·库马尔(Arul Kumar),来自于印度南部的泰米尔纳德邦,他称其发现可在一分钟内删除 Facebook 网站上的任何照片,而无需与用户进行任何互动,即使是在经过认证的页面上也是如此。库马尔已将这个漏洞上报给 Facebook,并因此获得了 1.25 万美元的奖金。
这个漏洞是库马尔在对移动版 Facabook Support Dashboard 进行研究后发现的,这个门户允许用户追踪向 Facebook 网站提交的任何报告的进展,包括用户认为哪些照片应被删除等。当用户提交这种申请而 Facebook 并未删除可疑照片时,用户可选择直接向图片所有者发送删除照片的请求。这样做的结果是,Facebook 会生成一个照片删除链接,该链接随后会被发送给信息接收者(即照片所有人),接收者可点击链接以删除照片。
库马尔发现,在这种信息中有两个参数很容易被修改,分别是“'photo_id”和“Owners Profile_id”。通过改变这两个参数,库马尔可以选择删除 Facebook 网站上的任何照片。在这一过程中,照片被删的用户不会以任何方式参与其中,而且也不会收到来自 Facebook 的任何信息。事实上,只有当用户登录以后发现自己的照片消失了才会知道。
库马尔解释称,这个漏洞可被用来删除任何已认证用户、页面或群组的照片,以及来自于状态信息、相簿、推荐帖子甚至是评论中的照片。
库马尔将这一漏洞的细节发给了 Facebook 安全团队,后者一开始不能通过他所说的方法来删除任何照片。随后,库马尔又使用一个演示账号来对这个漏洞进行了说明,此外还向 Facebook 发出了一段概念视频作为证据,以证明他可以从马克·扎克伯格(Mark Zuckerberg)的相簿中删除后者自己的照片。这一次 Facebook 安全团队的一名成员证实确实存在该漏洞,并表示将在“明天早上的某个时候”作出修复。