Si cree que un sitio web cuyo valor es más de $500 mil millones de Dolares no tiene ninguna vulnerabilidad, entonces está equivocado.
Pouya Darabi, un desarrollador web iraní, descubrió e informó una vulnerabilidad crítica pero directa en Facebook a principios de este mes que podría haber permitido a cualquier persona eliminar cualquier foto de esta famosa red social.
La vulnerabilidad reside en la nueva función de encuesta de Facebook, lanzada por el gigante de las redes sociales a principios de este mes, para publicar encuestas que incluyen imágenes y animaciones GIF.
Darabi analizó la función y descubrió que al crear una nueva encuesta, cualquier persona puede reemplazar fácilmente la ID de imagen (o URL gif) en la solicitud enviada al servidor de Facebook con la identificación de imagen de cualquier foto en la red social.
Ahora, después de enviar la solicitud con otra ID de imagen de usuario (cargada por otra persona), esa foto aparecerá en la encuesta.
Cada vez que un usuario intente crear una encuesta, se enviará una solicitud que contenga la URL gif o la identificación de la imagen, poll_question_data [options] [] [associated_image_id] contendrá el ID de la imagen cargada «, dijo Darabi.» Cuando el valor de este campo cambie a cualquier otra imagen ID, esa imagen se mostrará en la encuesta «.
Aparentemente, si el creador de la encuesta elimina esa publicación (la encuesta), como se demostró en el video anterior, eventualmente eliminará también la foto de origen, cuya ID de imagen se agregó a la solicitud, incluso si el creador de la encuesta no posee esa foto.
El investigador dijo que recibió $ 10,000 como recompensa por recompensa de errores de Facebook después de que informara de manera responsable esta vulnerabilidad a la red social el 3 de noviembre. Facebook corrigió este problema el 5 de noviembre.
Esta no es la primera vez que se descubre que Facebook se enfrenta a esta vulnerabilidad. En el pasado, los investigadores descubrieron e informaron varios problemas que les permiten eliminar videos, álbumes de fotos y comentarios y modificar mensajes desde la plataforma de redes sociales.
Darabi también ha sido premiado previamente por Facebook con una recompensa de errores de $ 15,000 por eludir sus sistemas de protección contra falsificaciones de solicitudes entre sitios (en 2015) y otros $ 7,500 por un problema similar (en 2016).
