庫馬爾發(fā)現(xiàn),在這種信息中有兩個參數(shù)很輕易被修改,分別是“'photo_id”和“Owners Profile_id”。這一次Facebook安全團隊的一名成員證明確實存在該漏洞,并表示將在“明天早上的某個時候”作出修復。通過改變這兩個參數(shù),庫馬爾可以選擇刪除Facebook網(wǎng)站上的任何照片。庫馬爾將這一漏洞的細節(jié)發(fā)給了Facebook安全團隊,后者一開始不能通過他所說的方法來刪除任何照片。
這個漏洞是庫馬爾在對移動版Facabook Support Dashboard進行研究后發(fā)現(xiàn)的,這個門戶答應用戶追蹤向Facebook網(wǎng)站提交的任何講演的進展,包括用戶以為哪些照片應被刪除等。事實上,只有當用戶登錄以后發(fā)現(xiàn)自己的照片消失了才會知道。隨后,庫馬爾又使用一個演示賬號來對這個漏洞進行了說明,此外還向Facebook發(fā)出了一段概念視頻作為證據(jù),以證實他可以從馬克·扎克伯格(Mark Zuckerberg)的相簿中刪除后者自己的照片。這樣做的結(jié)果是,F(xiàn)acebook會天生一個照片刪除鏈接,該鏈接隨后會被發(fā)送給信息接收者(即照片所有人),接收者可點擊鏈接以刪除照片。當用戶提交這種申請而Facebook并未刪除可疑照片時,用戶可選擇直接向圖片所有者發(fā)送刪除照片的哀求。在這一過程中,照片被刪的用戶不會以任何方式介入其中,而且也不會收到來自Facebook的任何信息。庫馬爾解釋稱,這個漏洞可被用來刪除任何已認證用戶、頁面或群組的照片,以及來自于狀態(tài)信息、相簿、推薦帖子甚至是評論中的照片。
粵公網(wǎng)安備44011302004697
