พบช่องโหว่บน Facebook ทำให้ผู้ใช้งานสามารถลบ Video ใดๆก็ได้ตามต้องการ

นักวิจัยทางด้านความปลอดภัยจากอินเดีย Pranav Hivarekar ได้ค้นพบวิธีที่ทำให้ตนเองสามารถลบ Video ใดๆก็ได้บน Facebook ถึงแม้ว่าจะไม่ได้เป็นเจ้าของ Video นั้นก็ตาม

ช่องโหว่นี้เกิดขึ้นจากฟีเจอร์ Videos in Comments ที่อนุญาตให้ผู้ใช้งานสามารถทำการ Comment เป็น Video ได้ ซึ่ง Facebook เพิ่งเปิดตัวได้ไม่นาน โดย Pranav ได้ทดลองเล่นกับ Facebook API และได้ค้นพบว่าเขาสามารถทำการลบ Video ใดๆก็ได้ จากการใช้ API เพื่อลบ Video ซึ่งแนวคิดก็คือ เมื่อผู้ใช้งานทำการอัพโหลด Video แล้ว จะได้ Video ID เป็นเลขชุดหนึ่งกลับมา ซึ่งสามารถใช้อ้างอิงในการลบ Video ได้ โดยเริ่มจากทำการ Post Comment แบบปกติ หลังจากนั้นทำการ Edit Comment เปลี่ยน Comment นั้นเป็นการแนบ Video ID ที่ต้องการลบผ่านทาง API แทน หลังจากนั้นก็ส่ง API request สำหรับ Delete Comment นั้น แต่เนื่องจาก Facebook ไม่ได้ทำการตรวจสอบสิทธิของการลบ Video ทำให้สามารถลบ Video ใดๆก็ได้บน Facebook ได้ทันที

Pranav ได้ทำการแจ้ง Facebook ผ่านโครงการ Bug Bounty ไปเมื่อวันที่ 11 มิถุนายน เพียง 2 วันหลังจากฟีเจอร์ Videos in Comments ได้เริ่มเปิดใช้งาน ซึ่ง Facebook ก็ใช้เวลาเพียงแค่ 23 นาทีในการแก้ไขเท่านั้น โดย Pranav ได้รับรางวัลจาก Facebook จำนวนเงินเป็นตัวเลขถึง 5 หลัก สำหรับการรายงานช่องโหว่นี้

ที่มา : http://www.techworm.net/2016/06/facebook-vulnerability-allows-hackers-delete-video-fb.html