Исследователь нашёл способ удалять на Facebook любое видео

Исследователь безопасности из Индии обнаружил критическую уязвимость платформы Facebook, благодаря которой из социальной сети можно было удалить любое видео. Новая функция была представлена в Facebook в начале месяца, ей стала возможность добавлять видео в качестве ответа в комментариях.

После работы с запросами некоторых интерфейсов программирования Facebook исследователь смог удалять видео, используя его идентификационный номер. Когда пользователь загружает видео в качестве комментария, видео оказывается в его профиле Facebook, у него есть номер ID, по которому оно прикрепляется к определённому посту.

Можно создать комментарий при помощи Facebook API, затем можно послать другой запрос API для прикрепления любого ID от любого пользователя в качестве комментария, и далее следующий запрос API можно использовать для удаления комментария. Вместе с ID удаляется и само видео. Разработчики Facebook забыли добавить проверку разрешений, чтобы знать, является ли удаляющий видео пользователь его владельцем.

О наличии проблемы было сообщено в Facebook 11 июня через программу поиска багов Bug Bounty, спустя два дня после введения функции. Через 23 минуты Facebook представил временное решение, а через 11 часов выпустил полноценный патч. Исследователь за такой критический баг получил в награду сумму с пятью знаками.