Supprimer n’importe quel album de photos de Facebook, même si celui-ci ne vous appartient pas et que vous ne devriez ainsi pas être en mesure de le modifier ? C’est ce à quoi est parvenu Laxman Muthiyah, en exploitant une faille de l’API Open Graph du célèbre réseau social.
Pour ce faire, il aura suffit de combiner le token d’accès personnel de l’application mobile pour Android à l’identifiant de l’album photo concerné, avant d’envoyer l’ordre de suppression à Facebook, qui s’exécutait sans vérifier si l’identité de l’internaute correspondait au propriétaire des clichés à faire disparaître.
Request :-DELETE /<Victim’s_photo_album_id> HTTP/1.1Host : graph.facebook.comContent-Length: 245access_token=<Your(Attacker)_Facebook_for_Android_Access_Token>
Démonstration de la procédure pour supprimer les albums de photos :
Ayant remonté la faille plutôt critique à Facebook, Laxman Muthiyah a été récompensé à hauteur de 12 500 dollars. Tel que vous vous en doutez, la vulnérabilité n’est désormais plus exploitable puisque corrigée.
