21 yaşında Hintli bir güvenlik araştırmacısı, Facebook’ta oldukça önemli bir açık keşfedince 12.500 $’lık ödül kazandı. Söz konusu açık sayesinde herhangi birisinin Facebook’a yüklediği fotoğrafların silinmesini sağlamak mümkün hale geliyordu. Üstelik fotoğrafları silinen kullanıcının bu işlemden haberi bile olmuyordu. Açığı bulan Arul Kumar adlı araştırmacı, internet devlerinin güvenlik açıklarını incelemeyi seven beyaz şapkalı bir hacker olduğunu söylüyor.
Söz konusu istismarın çalışma mekanizması, aslında Facebook’un telif hakkı koruma mekanizmasında bulunan bir açıktan kaynaklıyor. Normalde herhangi bir Facebook fotoğrafını kaldırtmak istediğinizde siteye bir bildirimde bulunuyorsunuz. Facebook yönetimi de ilgili fotoğrafı paylaşan kişiye bir uyarı gönderiyor. Fotoğrafı paylaşan kişi, ya bu uyarıyı dikkate alarak fotoğrafı kaldırıyor ya da ilgili fotoğrafın telif hakkının kendisinde olduğunu söyleyerek fotoğrafı kaldırmamayı seçiyor. Arul Kumar, bu noktada Facebook’un gönderdiği bildirimde bir açık olduğunu keşfetmiş.
Facebook’un gönderdiği bildirimdeki ‘photo_id’ ve ‘Owners Profile_id’ parametrelerinde değişiklik yapılabildiğini fark eden Kumar, sahte bir hesap açarak orijinal hesabındaki bir fotoğrafla ilgili bu sahte hesaba bildirim yapılmasını sağlamış ve böylece istediği fotoğrafı silebildiğini fark etmiş. Durumu Facebook güvenlik ekibine bildiren Kumar, ilk etapta Facebook güvenlik ekibinin açığı fark edemediğini ancak kendisinin bir video demonstrasyon hazırlayarak Facebook’u ilgili açıkla ilgili bir kez daha uyardığını söylüyor.
Kumar, 2. uyarısında Mark Zuckerberg’in fotoğraflarından birisini de rahatlıkla sosyal networkten sildirebildiğini göstermiş. Bunun üzerine Facebook güvenlik ekibinin kendisiyle yeniden temasa geçtiğini ve teşekkür ettiğini söyleyen Kumar, ilgili açığın kapatıldığını ve kendisine de yardımı için 12.500 $’lık bir çek gönderildiğini açıklıyor.
Kaynak : 