Facebook are un program de recompense pentru bug-urile gasite de catre utilizatori. Dupa ce sunt verificate bug-urile, Facebook plateste cu bani gheata pe utilizatorul care a gasit respectivul bug. Recompensele pentru bug-urile gasite sunt foarte generoase.
Un cercetator in securitatea digitala a descoperit un bug care ii permite sa stearga orice fotografie sau album al oricarei persoane care are un cont de Facebook, fara permisiunea acesteia. Laxman Muthiyah a fost recompensat cu suma de 12.500 de dolari, potrivit ZDnet aceasta ar fi cea mai mare suma oferita. Laxman Muthiyah este dezvoltator la Behindwoods, un site de divertisment din India si cercetator in securitatea digitala.
Utilizatorul Laxman Muthiyah a folosit Graph API, platforma pentru dezvoltatori pusa la dispozitie de catre Facebook. El a trimis platformei Graph API o comanda pentru a sterge una din fotografiile pe care le avea intr-un album, comanda a fost respinsa deoarece nu a avut permisiunile corecte. In mod normal Graph API blocheaza comenzile pentru a sterge o fotografie dar Laxman s-a folosit de un alt truc pentru a sterge o poza. El a observat ca modul de redactare a raspunsului prezentat ar putea avea permisiunea de stergere a unei fotografii de pe un dispozitiv mobil, de pe aplicatia Facebook pentru mobil. El a folosit un token pentru aplicatia Facebook pentru mobil care a rezultat stergerea unei fotografii de pe contul sau. Pentru a gasi vulnerabilitatea care permite stergerea unei fotografii de pe un alt cont de Facebook, el a inlocuit id-ul sau cu id-ul unui cont creat de el pentru proba. Cererea a fost acceptata si prelucrata fara nici cea mai mica problema.
Asta insemnand ca el putea sa stearga efectiv orice fotografie de pe orice cont de Facebook, fara permisiunea acestuia.
Laxman a fost unul din baietii buni si nu a profitat de aceasta vulnerabilitate, el a raportat acest bug imediat catre Facebook. In ziua urmatoare Facebook a rezolvat bug-ul si l-a recompensat pe Laxman cu suma de 12.500 de dolari. Facebook i-a multumit public pe site.
Videoclipul de mai jos, prezinta metoda prin care Laxman Muthiyah a sters pozele de pe un cont care l-a creat pentru proba: