Ingénieur en électronique et communication, Arul Kumar se présente comme un passionné de sécurité informatique et un hacker éthique. Il a ainsi rapporté à Facebook l'existence d'une vulnérabilité permettant à quiconque de supprimer une photo du réseau social à l'insu de l'utilisateur.

Arul-Kumar Le bug de sécurité tire parti de l'Espace Assistance de Facebook qui permet à un utilisateur de voir et suivre le statut de signalements et demandes comme lorsqu'il signale du contenu qu'il estime inapproprié à l'instar d'une photo.

Si une photo signalée n'est pas supprimée par Facebook, l'utilisateur peut envoyer une requête de suppression au propriétaire via un lien automatiquement généré qui lui est adressé. Si le propriétaire de la photo clique sur ce lien, la photo est supprimée.

Arul Kumar explique que la faille réside dans la modification manuelle de deux paramètres dans le lien d'URL ( Photo_id et Owners Profile_id ). L'attaquant peut ainsi recevoir un lien de suppression pour une photo sans que le propriétaire légitime ne soit au courant.

Pour opérer, l'attaquant envoie une demande de suppression pour une photo sans rapport sur un autre compte qu'il contrôle. Il modifie les deux paramètres dans le message reçu par le deuxième compte et peut ensuite choisir de supprimer n'importe quelle image d'un utilisateur de Facebook.

Arul-Kumar-facebook-hack

La vulnérabilité a été expérimentée avec la version mobile de l'Espace Assistance de Facebook. Arul Kumar indique qu'elle permet de supprimer des photos sur des comptes vérifiés, pages, groupes, commentaires...

Le problème a cependant été corrigé par Facebook. Arul Kumar a fait part de sa trouvaille au réseau social dans le cadre du programme de Bug Bounty de Facebook dénommé whitehat. En récompense, il a reçu la somme de 12 500 dollars.

Il y a quelques semaines, un hacker palestinien n'a pas obtenu de Facebook un paiement pour son rapport de bug. C'est la communauté de la sécurité qui s'est cotisée pour lui. Khalil Shreateh avait eu la mauvaise idée de pirater le compte de Mark Zuckerberg pour signaler l'existence d'une faille (la publication d'un message sur son mur).

De manière assez ironique, Arul Kumar a démontré son exploit sur le compte de Mark Zuckerberg mais n'est pas allé jusqu'à appuyer sur le lien pour supprimer une photo. Sinon, il n'aurait sans doute pas touché sa récompense.

La politique de Facebook est de ne pas récompenser des chercheurs qui ont testé des vulnérabilités sur des utilisateurs réels.