Jeśli twoje zdjęcia zniknęły z Facebooka, to znamy prawdopodobny powód
W portalu Facebook do niedawna była luka pozwalająca usunąć albumy ze zdjęciami innego użytkownika. Niepotrzebne były do tego nawet specjalne zdolności programistyczne. Odkrywca tej luki zgłosił ją administratorom portalu i okazało się to dla niego bardzo dobrą decyzją.
Zwykle rozmawiając o prywatności w internecie w kontekście udostępniania informacji mówi się o tym, że co raz wrzucone do sieci pozostanie w niej na zawsze. Czasem jednak sytuacja jest odwrotna, a błąd w zabezpieczeniach na portalu Facebook pozwalał użytkownikom usuwać nienależące do nich albumy ze zdjęciami.
Jeśli chcielibyście teraz zrobić dowcip swoim znajomym mam niestety dla was złą wiadomość.
Facebook załatał lukę po tym jak jej odkrywca, Laxman Muthiyah, zgłosił ją administratorom portalu. Nie tylko internauta zachował się właściwie nie przekazując informacji grupom przestępczym łasym na takie smaczki, ale też twórcy portalu przekazali mu nagrodę w wysokości 12,5 tys. dol. w ramach programu Bug Bounty.
Płacenie programistom za odkrywanie luk w zabezpieczeniach usług sieciowych w ramach programów bug bounty to popularna praktyka. W zeszłym roku firma Marka Zuckerberga odebrała i rozpatrzyła pozytywnie blisko trzysta takich zgłoszeń i tyle też wpisów z podziękowaniem trafiło na specjalną podstronę internetową na portalu.
Wykorzystanie błędu do usuwania zdjęć na Facebooku nie było wbrew pozorom takie trudne.
Laxman Muthiyah znalazł sposób, żeby przekonać portal, że jest właścicielem albumu ze zdjęciami utworzonego przez innego użytkownika. Wykorzystał do tego platformę Graph API. W tym celu stworzył nowego użytkownika bo przetestowania tego rozwiązania i faktycznie mu się to udało.
Z wykorzystaniem tego błędu można było się dobrać do wszystkich zdjęć, które atakujący mógł wyświetlić. Większość zdjęć w prywatnych albumach była bezpieczna, ale niektóre z fotografii jak np. awatary są zawsze udostępniane jako publiczne i można było je w ten sposób usunąć.
Facebook do sprawy podszedł bardzo poważnie i załatał lukę w dwie godziny.
W tym przypadku zarówno postawa odkrywcy błędu, jak i reakcja Facebooka była wzorowa. W systemach informatycznych tworzonych przez ludzi zawsze mogą wystąpić błędy, a najważniejsze jest by nie wykorzystać ich istnienia do niecnych celów i w porę je usuwać.
Trzeba pamiętać, że podobnych nieodkrytych błędów w usługach internetowych jest zapewne jeszcze mnóstwo. Wrzucając pliki do sieci nie tylko należy mieć świadomość, że wszystkie dane mogą zostać wykradzione, ale też należy robić cyklicznie niezależne kopie zapasowe.
Czasem ktoś o podstawowych zdolnościach programistycznych może usunąć cudze zdjęcia na Facebooku, a czasem programiści w wyniku buga dostają dostęp do konta innego dewelopera, jak to miało ostatnio miejsce w przypadku iTunes Connect…
*Grafiki pochodzą z serwisu Shutterstock.
