Erikoisten Facebook-aukkojen sarja sai jatkoa intialaisen hakkerin löytämästä ongelmasta. Se salli ei enempää eikä vähempää kuin minkä tahansa yhteisöpalveluun laitetun valokuvan poistamisen ilman omistajan tietoa.
Asiasta kirjoittaa muun muassa tietoturvayhtiö Sophoksen Naked Security -blogi. Ongelma liittyi Facebookin Support Dashboard -toiminnon mobiiliversioon. Toiminnolla voi seurata omien ilmoitustensa käsittelyä mukaan lukien ilmoitukset epäilyttävistä kuvista.
Toiminto mahdollistaa viestin lähettämisen kuvan omistajalle, jos Facebook ei kuvaa poistanut. Samalla Facebook luo valokuvan poistolinkin. Hakkeri Tamil Nadu huomasi, että hän pystyy paria viestin parametria muuttamalla poistamaan minkä tahansa Facebookissa julkaistun kuvan ilman, että käyttäjä saa siitä tietää. Paitsi sitten, kun hän huomaa kuviensa kadonneen.
Tällä kertaaFacebook maksoi
Temppuun menee alle minuutti. Mutta Facebookin turvatiimi ei ensin onnistunut toisintamaan ongelmaa. Hakkeri sai kuitenkin lopulta todistettua aukon muun muassa videolla, jossa hän näytti, miten Facebookin perustajan Mark Zuckerbergin omia kuvia olisi voinut poistaa tämän albumista.
Tapaus tuo mieleen palestiinalaisen hakkerin Khalil Shreatehin, joka todisti oman Facebook-aukkonsa julkaisemalla viestin Zuckerbergin seinällä. Hakkeri oli turhautunut siihen, ettei Facebook uskonut aukon olevan olemassa. Facebook kieltäytyi maksamasta hänelle palkkiota haavoittuvuuden löytämisestä.
Tamil Nadu nettosi haavoittuvuudellaan noin 9500 euroa Facebookilta. Toisaalta Shreateh on nettikeräyksessä ansainnut jo melkein 10 000 euroa.
