Facebook slapp med skrekken etter at en hacker oppdaget at hele bildealbum enkelt lot seg slette. (Foto: Scanpix)

Reddet Facebook fra foto-havari

Slik oppdaget hackeren hullet.

En alvorlig sårbarhet gjorde det mulig å slette alle bilder på Facebook, i hvert fall de som var delt offentlig.

Feilen ble rapportert inn tirsdag denne uken av den indiske utvikleren Laxman Muthiyah, som blogger under hackeraliaset 7xter.

Et hvilket som helst fotoalbum lot seg enkelt slette, forklarer mannen som oppdaget det urovekkende hullet i nettjenestens programmeringsgrensesnitt.

Slik hacket jeg dine Facebook-bilder er tittelen på innlegget.

Ifølge Facebooks dokumentasjon er det ikke mulig å slette album ved hjelp av det såkalte Graph API-et, et grensesnitt som lar utviklere lese og skrive data til plattformen.

I vanlig hackerånd forsøkte han likevel. Feilmeldingen som oppsto fortalte at applikasjonen hans ikke hadde rettigheter til å foreta et slikt kall. Samtidig indikerte feilmeldingen at andre applikasjoner kunne ha slik tilgang.

Og ganske riktig, da  Muthiyah forsøkte på nytt med sin verifiserings-ID (access token) generert og begrenset til hans Android-applikasjon så lot album seg slette. Ikke bare egne album, men da han forsøkte andre brukeres album-IDer viste det seg at også de ble slettet.

Dersom en annen person med mindre edle hensikter hadde oppdaget det samme, er det i teorien mulig at konsekvensene for Facebook ville ha blitt store.

Kjapp respons

Hackeren skriver at han tok umiddelbart kontakt med Facebook etter oppdagelsen. Mindre enn to timer senere fikk han beskjed at hullet var blitt lukket.

I likhet med Google og enkelte andre teknologiselskaper tilbyr Facebook dusør til hackere, sikkerhetsforskere og andre som oppdager alvorlige sårbarheter, og rapporterer de inn på en ansvarlig måte.

Dusør

«Snille» hackere blir ofte betegnet som såkalte whitehat hackere, og takkelisten til Facebook røper at Muthiyah også tidligere (i 2014) er premiert og hedret for sitt arbeid med å innrapportere feil.

Etter denne ukens oppdagelse kan han plusse på kontoen med 12.500 dollar, opplyser han i blogginnlegget.

Facebook opererer ikke med en øvre grense for hvor mye penger de gir ut for slike oppdagelser. Allerede i 2013 hadde det sosiale nettverket betalt ut mer enn én million dollar under Whitehat-programmet deres.

Vedkommende som brøt seg inn på Mark Zuckerbergs tidslinje fikk derimot ikke betalt.

Laxman Muthiyah har også publisert en video på Youtube der han demonstrerer hullet han fant:

 

Til toppen