Fins i tot la majoria de llocs web amb milers de milions de facturació poden tenir vulnerabilitats. Aquest és el motiu pel qual aquestes empreses duen a terme programes de recompensa d'errors que ofereixen una quantitat valuosa de diners als desenvolupadors per trobar errors i vulnerabilitats.
A principis de mes, un desenvolupador web iranià, Pouya Darabi, ha descobert una vulnerabilitat crítica a Facebook que permet que qualsevol persona esborri qualsevol foto de la plataforma de xarxes socials. Aquesta escletxa resideix en la nova funció d'enquesta de Facebook llançada a principis d'aquest mes que permet als usuaris crear enquestes que incloguin GIF i imatges.
Quan Darabai analitzava aquesta característica, va saber que quan un usuari crea una enquesta, s’enviarà una sol·licitud als servidors de Facebook amb l’identificador d’imatge de qualsevol foto escollida a la xarxa de xarxes socials que qualsevol persona podria substituir. Ara, quan es canvia l'identificador de la imatge a l'URL, aquesta imatge en particular es mostrarà a l'enquesta.
"Sempre que un usuari intenta crear una enquesta, s'enviarà una sol·licitud que contingui URL gif o identificador d'imatge, poll_question_data [opcions] [] [associat_imatge_id] conté l'identificador de la imatge carregada", va dir Darabi. "Quan aquest valor de camp canviï a qualsevol altre identificador d'imatge, aquesta imatge es mostrarà a l'enquesta".
A més, si el creador de l'enquesta suprimeix l'enquesta, finalment eliminaria la imatge original provinent de la pàgina d'una altra persona permanentment.
Tan bon punt Darabi va descobrir la vulnerabilitat, va informar de l'error a Facebook el 3 de novembre i el gegant de les xarxes socials hi va respondre immediatament i va publicar una solució temporal el 3 de novembre seguida d'una correcció permanent el 5 de novembre. Més endavant, el 8 de novembre, Facebook li va atorgar una recompensa de 10,000 dòlars per evitar danys potencials als dos usuaris, així com a la reputació del gegant de les xarxes socials en general.
https://www.facebook.com/DynamicW0rld/videos/537437603273104/
No és la primera vegada que Darabi rep una recompensa de Facebook. Anteriorment, el 2015, la companyia li va atorgar 15,000 dòlars recompensa d'errors per evitar el sistema de protecció contra la falsificació de sol·licituds entre llocs (CSRF). I el 2016, va guanyar altres 7,500 dòlars per trobar un problema similar.
