Facebook-Lücke erlaubte das Löschen fremder Fotos
Ein indischer Sicherheitsforscher hat demonstriert, wie man Fotos von beliebigen Nutzern löschen kann und dafür eine stolze Belohnung kassiert.
- Ronald Eikenberg
Der Inder Arul Kumar hat bei Facebook eine Lücke entdeckt, durch die er beliebige Fotos anderer Nutzer löschen konnte. Da er die Lücke vertraulich an Facebook gemeldet hat, darf er sich über eine Belohnung in Höhe von 12.500 US-Dollar freuen.
Die Lücke klaffte in der mobile Version des Support Dashboard. Entdeckt etwa ein Nutzer ein Foto von sich, das ohne seine Einwilligung bei Facebook eingestellt wurde, kann er über Support Dashboard eine Löschanfrage stellen. Und zwar nicht nur an Facebook, sondern auch an den Nutzer, der das Bild hochgeladen hat. Letzterer erhält dann einen Link, der das betroffene Bild direkt löscht.
Kumar hat einen Weg gefunden, Lösch-Anfragen an Nutzer zu versenden, die das jeweilige Foto gar nicht hochgeladen haben. Dazu musste er lediglich eine HTTPS-Anfrage nach dem folgenden Muster absenden:
https://m.facebook.com/report/social/?phase=0&next_phase=8&pp={"first_dialog_phase": 8,"support_dashboard_item_id":396746693760717,"next":"\/settings\/support\/details\/?fbid=396746693760717","actions_to_take":"{\"send_message\":\"send_message\"}"}&content_type=2&cid=PHOTO_ID&rid=PROFILE_ID
Die cid ist dabei die öffentliche ID des zu löschenden Fotos, die rid ist die Nutzer-ID des Empfängers der Löschanfrage. Kumar verschickte eine solche Anfrage an einen Facebook-Account, der ebenfalls unter seiner Kontrolle stand. Nachdem er den dort eingetroffenen Link anklickte, wurde das Foto aus dem fremden Account entfernt.
Nachdem Kumar die Lücke über Facebooks Bug Bounty Program einreichte, wurde sie geschlossen. Facebooks Sicherheitsteam stufte sie als sehr kritisch ein und versprach Kumar eine satte Belohung in Höhe von 12.500 US-Dollar.
Nicht ganz so leicht kam der Sicherheitsforscher Khalil Shreateh an seine Belohnug: Er hatte Mitte August eine Lücke entdeckt, durch die man Nachrichten auf Pinnwänden hinterlassen kann, welche dafür eigentlich gesperrt sind. Es gelang ihm allerdings nicht, Facebook davon zu überzeugen, dass es sich um ein Problem handelt.
Als er daraufhin die Lücke ausnutzte, um eine Nachricht auf Marc Zuckerbergs Pinnwand zu hinterlassen, bestätigte Facebook das Problem zwar, verweigerte ihm aber die Auszahlung der Belohnung – es ist gegen die Spielregeln des Bug Bounty Program, die Accounts anderer Nutzer zu manipulieren. Leer ausgegangen ist Shreateh trotzdem nicht: Ein anderer Sicherheitsforscher konnte mittels Crowdfounding schließlich noch über 13.000 US-Dollar für den Entdeckter der Lücke einsammeln. (rei)
