Arul Kumar aus Indien hat nach einem Bericht von Heise eine Sicherheitslücke bei Facebook entdeckt, durch die er in der Lage war, beliebige Fotos anderer Nutzer zu löschen. Weil er die Lücke vertraulich an Facebook gemeldet hat, kann er sich über eine Belohnung (Bug Bounty) von immerhin 12.500 US-Dollar freuen.
Wie konnte man denn fremde Bilder löschen?
Die Sicherheitslücke steckte in der mobilen Version der Supportkonsole. Entdeckt beispielsweise ein Facebook-Nutzer ein Foto von sich, dass jemand ohne seine Einwilligung bei Facebook eingestellt hat, kann er über die Supportkonsole eine Löschanfrage stellen.
Diese Anfrage geht nicht nur an Facebook, sondern auch an den Nutzer, der das Bild hochgeladen hat. Der erhält dann einen Link, auf den er nur klicken muss, um das betroffene Bild direkt zu löschen.
Arul Kumar hat nun einen Weg gefunden, Löschanfragen an Nutzer zu versenden, die das jeweilige Foto gar nicht hochgeladen haben. Dazu brauchte er nur eine solche HTTPS-Anfrage abschicken:
https://m.facebook.com/report/social/?phase=0&next_phase=8&pp={"first_dialog_phase": 8,"support_dashboard_item_id":396746693760717,"next":"\/settings\/support\/details\/?fbid=396746693760717","actions_to_take":"{\"send_message\":\"send_message\"}"}&content_type=2&cid=PHOTO_ID&rid=PROFILE_ID
Die cid enthält die öffentliche ID des zu löschenden Fotos und die rid ist die Benutzer-ID des Empfängers der Löschanfrage. Kumar verschickte eine solche Anfrage an einen Facebook-Account, der ebenfalls unter seiner Kontrolle stand. Nachdem er den dort eingetroffenen Link anklickte, wurde das Foto aus dem fremden Account entfernt.
Das bestätigt einmal mehr, dass man als Programmierer nur Daten zur Verarbeitung weiterschicken sollte, die auf Plausibilität geprüft sind und sich nicht wie in diesem Fall darauf verlassen, dass dass der Benutzer, der auf dem Umschlag steht, eden Brief auch wirklich geschrieben hat…
Was Facebook diesmal korrekt gemacht hat
Nachdem Arul Kumar die Lücke über Facebooks Bug Bounty Program einreichte, wurde sie geschlossen. Das Sicherheitsteam des Gesichterbuchs stufte sie als sehr kritisch ein und versprach Kumar eine satte Belohung in Höhe von 12.500 Dollar.
Wie aus dem Gesichterbuch wieder das Fratzenbuch wurde
Nicht ganz so leicht kam der Sicherheitsforscher Khalil Shreateh an seine Belohnug: Er hatte nämlich im letzten Monat eine Lücke entdeckt, durch die man Nachrichten auf eigentlich gesperrten Pinnwänden hinterlassen kann. Es gelang ihm allerdings nicht, die hohen Herren vom Facebook-Sicherheitsteam davon zu überzeugen, dass das ein Problem war.
Bis er daraufhi
n die Lücke ausnutzte, um eine Nachricht auf Marc Zuckerbergs Pinnwand zu hinterlassen. Jetzt bestätigte Facebook das Problem zwar, verweigerte ihm aber die Auszahlung der Belohnung, weil es gegen die Spielregeln des Bug Bounty Programmes verstoße, die Accounts anderer Benutzer zu manipulieren.
Every Good Boy Deserves Favour
Leer ausgegangen ist Khalil Shreateh trotzdem nicht:
Ein anderer Sicherheitsforscher konnte mittels Crowdfounding schließlich noch über 13.000 US-Dollar für den Entdeckter der Lücke einsammeln.
