資安研究人員Dan Melamed於23日在部落格揭露,Facebook有個嚴重的原始碼漏洞,允許駭客不用取得特定的身分權限或是身分驗證,就能利用該漏洞刪除Facebook上的任何影片,還可以停用Facebook影片下面的評論。目前,Facebook已經對外公開此漏洞,並且發放回報漏洞獎金10,000美元(約新臺幣31萬元)給Dan Melamed。
Dan Melamed在2016年6月就發現Facebook上存有此漏洞,並且上傳影片通報Facebook。在通報影片裡面,駭客可以建立一個Facebook的活動頁,上傳影片至Facebook。然後,攔截Facebook發布影片的請求,Facebook會出現「你的影片現在正處理中。我們將在處理完成之後通知你」的請求視窗。該視窗原始碼會呈現個人資料ID(av=<Profile ID>)跟剛上傳影片的ID(=<Video ID>)。
接著,駭客利用剛上傳影片的ID,替換成用戶上傳影片ID,用戶的影片就會出現駭客建立的活動頁上面,成為駭客上傳的影片。最後,駭客只要在活動頁刪除用戶的影片,就一併刪除用戶上傳至Facebook上的影片。駭客只要花不到5分鐘的時間,就能夠刪除任何一個上傳Facebook的影片。除此之外,駭客也可以利用此方法,停用用戶影片下的評論。
Dan Melamed在去年6月就回報Facebook存在此漏洞,直到今年1月23日才對外公布此漏洞。此外,資安研究人員Pranan Hivarekar也在去年發現,駭客可以任意刪除Facebook影片另一個漏洞。Facebook已經在去年6月修補此漏洞,也發放回報漏洞獎金給Pranan Hivarekar。
Dan Melamed示範如何利用Facebook漏洞,刪除用戶上船的影片。影片來源:Dan Melamed