13 februari 2015 11:05

Facebook dicht gat waarmee elke foto verwijderd kon worden

Een veiligheidsonderzoeker ontdekte een bug waarmee hackers controle konden krijgen over alle fotoalbums op Facebook. Het sociale netwerk verhielp het probleem binnen twee uur na de melding.

Facebook heeft een groot gat gedicht. Een zwakke plek stelde hackers in staat om elke willekeurige foto van het sociale netwerk te verwijderen.

Twee jaar geleden meldde Facebook dat gebruikers dagelijks 350 miljoen beelden uploaden. Dat is in de tussentijd alleen maar toegenomen. De schatting is dat zo"n 1,3 miljard mensen op Facebook zitten. Het aantal foto"s is dus bijna niet voor te stellen en de benodigde opslagruimte al helemaal niet.

[related_article id=”158578″]

Laxman Muthiyah kwam tot de ontdekking dat een relatief simpele bug het potentieel had om de volledige fotodatabase te verwijderen. “Elk fotoalbum kon weggehaald worden, of hij nu bij een gebruiker, pagina of groep hoorde”, schrijft de veiligheidsonderzoeker op zijn blog.

Muthiyah vond de bug terwijl hij aan het spelen was de met Facebooks Graph API, een ontwikkelaarsplatform dat websites en applicaties in staat stelt te corresponderen met de data van Facebook. De Graph API staat niet toe dat de ene gebruiker materiaal van een andere gebruiker verwijdert.

Door het toegangstoken aan te passen op zijn mobiele apparaat, kon Muthiyah Facebook ervan overtuigen dat een bepaald fotoalbum van hem was. Daarmee krijg hij er volledige controle over. Met voldoende middelen zou hij in staat zijn geweest elke foto op het sociale netwerk te verwijderen.

De bug was zo erg dat Facebook binnen twee uur na de melding van Muthiyah het gat had gedicht. Voor zijn ontdekking kreeg de onderzoek een bedrag van 12.500 dollar. Een van de hoogst beschikbare bonussen.