Cuatro líneas de código bastan para borrar cualquier foto en Facebook


Solo cuatro líneas de código y cualquier foto de Facebook desaparecerá para siempre: las de tu último cumpleaños, las de la cuenta de Mark Zuckerberg o las de una marca comercial. Da igual. Ese es el intrigante fallo que ha descubierto el investigador de seguridad Laxman Muthiyah.

Afortunadamente, poco después de publicar su hallazgo en un blog post, Muthiyah informó a Facebook de la vulnerabilidad mediante su plataforma de reporte de fallos para que fuera debidamente solucionada. Responsables de Facebook han confirmado que el problema era completamente real, pero que ya se ha solucionado.

El investigador comenzó preguntándose si habría alguna forma de que alguien borrara una foto sin nuestro consentimiento en la red social. Muthiyah optó por utilizar los privilegios de acceso (tokens) de Android porque en las aplicaciones móviles de Facebook es más sencillo borrar fotos. Los token son los códigos de acceso que permiten a la aplicación de Facebook acceder a nuestro perfil o que, por ejemplo, un juego pueda acceder a nuestra información en la red social.

En un primer intento, la API gráfica de Facebook se negó a la solicitud de borrado de una imagen hecha por Mutiyah porque utilizó una aplicación desde la que, de hecho, no se pueden borrar fotos. Al utilizar el token de la app de Facebook para Android, que sí tiene esos permisos, el hacker escribió el siguiente código:

Request :-

DELETE /518171421550249 HTTP/1.1

Host : graph.facebook.com

Content-Length: 245

access_token=<Facebook_for_Android_Access_Token>
Y la respuesta de Facebook fue un sorprendente:

Response :-

true
Las cuatro líneas de código habían borrado todo un álbum de fotos sin problema. Mutiyah muestra en este vídeo como trata de acceder al álbum desde su perfil y este ha desaparecido completamente.


Como explica el experto en seguridad Mark Stockley, el fallo puede parecer simple, pero si lo hubiera descubierto alguien malintencionado podría haber hecho muchísimo daño. Los números que identifican internamente a los álbumes en Facebook son secuenciales, así que se podría haber programado un bot para que borrara álbumes indefinidamente. El daño a la imagen de la red social hubiera sido enorme antes siquiera de que se diesen cuenta de lo que estaba pasando. En cuanto a Laxman, ha recibido la cantidad de 12.500 dólares por su descubrimiento. Teniendo en cuenta la gravedad del fallo, deberían haberle contratado.

Fuente: Gizmodo