Bug su Facebook: è possibile cancellare qualsiasi video
Un ricercatore scopre per caso un falla nel sistema di pubblicazione dei filmati. Avverte Facebook che lo risolve e lo ricompensa per la segnalazione
Dan Melamed è un ragazzo che si occupa di sicurezza informatica e nota qualcosa di strano mentre, un giorno, stava caricando un suo video sul social network. Curioso, inizia a fare qualche esperimento e scopre che – in modo semplice e veloce – era in grado di cancellare i video di qualsiasi utente.
Il metodo era estremamente banale e fortuna vuole che Dan Melamed è un ricercatore e non un hacker. Ha così immediatamente contattato Facebook sulla presenza di questo bug. Il social network lo risolve e lo ricompensa con 10.000 dollari per la sua segnalazione. Dan, mentre stava caricando un video, si imbatte in una stringa di codice in fase di upload di un video e scopre il parametro usato da Facebook per effettuare l’operazione. Bastava cambiare quel valore – ossia l’ID del video – per riuscire a ottenere il controllo e, quindi, anche cancellare i filmati di qualsiasi utente di Facebook.
Scoperto per caso
La stringa di codice in questione intercettata da Dan Melamed mentre caricava il suo video era "composer_unpublished_photo[0]=". "Video ID", nello specifico, si riferisce al codice identificativo del filmato che il ricercatore stava caricando. Servivano competenze di programmazione per capire tutto il meccanismo ma, per sintetizzare, bastava cambiare quel parametro con quello di qualsiasi altro filmato presente su Facebook per ottenere il controllo, e, quindi, anche la possibilità di cancellarlo.
L’onesta paga
Il bug adesso è stato risolto da Facebook che, come accennato, ha anche ricompensato Melamed per la sua correttezza nell’avvertire prontamente lo staff tecnico del social network. Quindi, se a qualcuno venisse in mente di ripetere l’exploit, non funzionerebbe. Adesso, quindi, entriamo nel dettaglio del bug "cancella-video. La prima mossa era creare un evento su Facebook e inizia a caricare un video. Quando l’upload era quasi al termine, si usava uno strumento come Fiddler – un tool per effettuare il debug del traffico della sessione HTTP – per modificare il parametro video ID del video appena caricato con quello del filmato da eliminare e inviare, quindi, a Facebook la richiesta modificata. Una volta effettuato il cambio di identificativo, era sufficiente eliminare il post pubblicato nella pagina dell’evento per cancellare anche il filmato e tutti i relativi commenti collegati.