Alfonso Maruccia

Facebook, quanto vale cancellare foto altrui

Un bug hunter indiano individua una vulnerabilitÓ potenzialmente molto pericolosa nel codice di Facebook e fa rapporto. Diversamente da quanto successo nel recente passato, questa volta l'hacking vale pi¨ di 12mila dollari

Roma - Facebook ha consegnato un nuovo baco pericoloso all'archivio dei casi risolti grazie al lavoro di ricerca di Arul Kumar, 21enne ingegnere indiano con la passione per l'"hacking etico". Il baco spiega Kumar, avrebbe potuto permettere a chiunque di cancellare le immagini dei contatti di Facebook - indipendentemente dal tipo di relazione esistente sul social network tra attaccante e vittima.



Alla base della nuova vulnerabilità di Facebook c'è la versione mobile della Dashboard di supporto, una funzionalità che permette a un utente del social network di tenere traccia di tutte le richieste inviate al sito. Attraverso la Dashboard passano anche le richieste di rimozione delle foto inviate a Facebook, ed è proprio qui che le cose cominciano a farsi pericolose.
Nel caso in cui la richiesta di rimozione venga respinta, Facebook dà la possibilità di scrivere direttamente all'utente interessato con una richiesta di rimozione "personale" senza interessamento diretto della corporation. Agendo sul codice dell'URL di questa richiesta, Kumar ha scoperto che è possibile cambiare due parametri fondamentali ("photo_id" e "Owners Profile_id"), e avere la facoltà di passare alla cancellazione di foto su cui non si dovrebbe - in teoria - avere il minimo controllo.

Anche qui come nel recente caso del bug-hunter palestinese Khalil Shreateh, la comunicazione con il team della sicurezza di Facebook si è rivelata essere inizialmente poco fruttuosa: Kumar ha dovuto inviare un paio di messaggi con la spiegazione precisa di baco ed exploit per vedersi riconosciuto il proprio lavoro di ricerca.

Diversamente dalla vulnerabilità individuata da Shreateh, però, quella dell'ingegnere indiano è stata valutata meritevole di premio in denaro con una taglia regolarmente pagata di 12.500 dollari. L'hacker palestinese si era comportato in maniera scorretta, mentre nel caso di Kumar è stata rispettata in pieno la policy di Facebook sulla responsible disclosure senza tentativi di hacking su profili "live" degli utenti del social network.

Alfonso Maruccia
Notizie collegate
  • AttualitàFacebook e il baco della discordiaUn hacker palestinese scopre un bug nel codice e ne denuncia l'esistenza. E spera in una ricompensa. Ma per mostrare il problema viola l'account di Zuckerberg. E si becca un ban
  • SicurezzaApple ringrazia l'hacker, Facebook noCupertino spende parole favorevoli al lavoro di Ibrahim Balic, che si era attribuito la paternitÓ della vulnerabilitÓ al sito sviluppatori. Menlo Park invece vuole precisare qualcosa