Facebook : 12 500 dollars à un hacker pour une faille d'effacement des photos

Le par  |  2 commentaire(s)
Facebook-logo

Un ingénieur indien a mis au jour une vulnérabilité de Facebook permettant d'effacer une photo du réseau social à l'insu du propriétaire. Facebook a récompensé sa trouvaille avec 12 500 dollars.

Ingénieur en électronique et communication, Arul Kumar se présente comme un passionné de sécurité informatique et un hacker éthique. Il a ainsi rapporté à Facebook l'existence d'une vulnérabilité permettant à quiconque de supprimer une photo du réseau social à l'insu de l'utilisateur.

Arul-KumarLe bug de sécurité tire parti de l'Espace Assistance de Facebook qui permet à un utilisateur de voir et suivre le statut de signalements et demandes comme lorsqu'il signale du contenu qu'il estime inapproprié à l'instar d'une photo.

Si une photo signalée n'est pas supprimée par Facebook, l'utilisateur peut envoyer une requête de suppression au propriétaire via un lien automatiquement généré qui lui est adressé. Si le propriétaire de la photo clique sur ce lien, la photo est supprimée.

Arul Kumar explique que la faille réside dans la modification manuelle de deux paramètres dans le lien d'URL ( Photo_id et Owners Profile_id ). L'attaquant peut ainsi recevoir un lien de suppression pour une photo sans que le propriétaire légitime ne soit au courant.

Pour opérer, l'attaquant envoie une demande de suppression pour une photo sans rapport sur un autre compte qu'il contrôle. Il modifie les deux paramètres dans le message reçu par le deuxième compte et peut ensuite choisir de supprimer n'importe quelle image d'un utilisateur de Facebook.

Arul-Kumar-facebook-hack

La vulnérabilité a été expérimentée avec la version mobile de l'Espace Assistance de Facebook. Arul Kumar indique qu'elle permet de supprimer des photos sur des comptes vérifiés, pages, groupes, commentaires...

Le problème a cependant été corrigé par Facebook. Arul Kumar a fait part de sa trouvaille au réseau social dans le cadre du programme de Bug Bounty de Facebook dénommé whitehat. En récompense, il a reçu la somme de 12 500 dollars.

Il y a quelques semaines, un hacker palestinien n'a pas obtenu de Facebook un paiement pour son rapport de bug. C'est la communauté de la sécurité qui s'est cotisée pour lui. Khalil Shreateh avait eu la mauvaise idée de pirater le compte de Mark Zuckerberg pour signaler l'existence d'une faille (la publication d'un message sur son mur).

De manière assez ironique, Arul Kumar a démontré son exploit sur le compte de Mark Zuckerberg mais n'est pas allé jusqu'à appuyer sur le lien pour supprimer une photo. Sinon, il n'aurait sans doute pas touché sa récompense.

La politique de Facebook est de ne pas récompenser des chercheurs qui ont testé des vulnérabilités sur des utilisateurs réels.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1464092
$ 12500 ? Je peux effacer définitivement toutes vos photos de vos HDD pour moins que cela !

Blague dans le coin, l'Inde compte de plus en plus de pointures en informatique. J'ai une connaissance (un concurrent) qui a fait développer un gros logiciel de gestion en sous traitance par des programmeurs indiens. Non seulement ca n'a coûté que des broutilles mais en plus le travail réalisé est impeccable (j'ai vu le soft fonctionner).

Il est malheureux que notre système économique soit aussi lamentable en charges sociales car nous aussi, nous avons de supers programmeurs ... Mais ils coûtent trop chers
Le #1471552
Oui c'est bien vrai ça, on devrait payer les gens "très qualifiés" 1$ (et donc les "non qualifiés" encore moins) par mois et les faire vivre dans des Slums, comme en Inde, et puis on devrait leur enlever les congés payés et les 35h à cette bande de fénéants ! Et puis, s'ils ont un accident du travail, c'est bien de leur faute il l'ont bien mérité, z'avaient cas pas mettre le bras sous l'engin de 50t. Ils ont cas se payer leurs frais d'hôpital tout seuls, la sécu c'est pour les galndus.
La France serait tellement plus agréable à vivre...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]