Et sikkerhetshull hos Facebook gjorde det mulig for uvedkommende å slette bildene dine. Hullet ble raskt tettet, og mannen som fant det ble 12 500 dollar rikere.
Laxman Muthiyah er navnet på den indiske sikkerhetsresearcheren som fant hullet. Hullet benyttet seg av Facebooks Graph API, som eksponerer Facebooks innhold for tredjepartsutviklere.
I utgangspunktet har man som tredjepartsutvikler kun muligheten til å hente ut bilder via Graph API – ikke slette.
Måten dette blir kontrollert på, er at man som tredjepartsutvikler får tildelt en access token (en access token er på mange måter et digitalt personnummer for den aktuelle appen), som for Facebooks interne systemer sier noe om hvilke tilganger du har.
For å slette innhold må man i utgangspunktet bruke Facebooks offisielle nettsider eller mobil-apper.
Men siden deler av Facebooks egne tjenester, som for eksempel deres egne mobilapper, benytter seg av Graph API, hadde Facebook lagt inn en bakvei som gjorde det mulig å slette bilder via API-et.
En vanlig forespørsel til Facebook, når gjort av en datamaskin, kan se slik ut:
Request :-
DELETE /518171421550249 HTTP/1.1
Host : graph.facebook.com
Content-Length: 245
access_token=LANG_UNIK_STRENG_FOR_UTVIKLEREN
Hvis man sender inn denne til Facebook, kommer det en feilmelding tilbake:
{"error":{"message":"(#200) Application does not have the capability to make this API call.","type":"OAuthException","code":200}}
…som i all hovedsak sier at den aktuelle applikasjonen ikke har tilgang til å slette bildene.
Sikkerhetsresearcheren Laxman fant derimot ut at hvis han byttet ut sin access token med den som Facebooks egne apper benytter seg av, så fikk han muligheten til å slette.
…og ikke bare sine egne bilder, men alle bilder på hele Facebook.
I denne videoen viser Laxman hvordan han gjorde slettingen:
Hullet ble heldigvis raskt tettet av Facebook.
Skadelig informasjon i feil hender
På nettets underskog finner man diskusjonsforum hvor disse sikkerhetshullene selges for relativt saftige summer. Denne typen hull kalles ofte zero day, og er i feil hender ganske skadelig.
Laxman Muthiyah kunne antagligvis fått godt betalt for dette hullet av ondsinnede hackere, men det fikk han også av Facebook:
Som takk for at Laxman rapporterte feilen i stedet for å selge informasjonen, betalte de ham 12 500 amerikanske dollar.