Category Archives: facebook

HACKER KAN ELKE FOTO VAN FACEBOOK DELETEN

Indiase IT Beveiliging Enthousiast “Arul Kumar” meldde onlangs een interessante Facebook kwetsbaarheid die hem in staat stelde om elke afbeelding van Facebook binnen een minuut te verwijderen.

Facebook Bug Bounty programma beloonde hem met $ 12.500 voor het helpen van het Facebook-Veiligheidsteam om deze kritieke kwetsbaarheid te patchen in hun eigen Support Dashboard.

De fout is essentieel, omdat het gebruik van deze methode een hacker de mogelijkheid geeft om zelfs de foto’s van Mark Zuckerberg (Oprichter van Facebook) uit zijn fotoalbum, of zelfs van zijn Wall te verwijderen.

Arul posten op zijn blog, “Het Support Dashboard is een portaal dat is ontworpen om u te helpen de voortgang van de rapporten die u maakt op Facebook te volgen. Vanuit uw Support Dashboard, kunt u zien of uw rapport door Facebook-medewerkers is bekeken die meldingen 24 uur per dag, zeven dagen per week oplossen. ”

Dat betekent, als je misbruik over een foto meldt, zal de Facebook-server dan automatisch een Photo Removal Request link genereren en stuurt die dan vervolgens naar de eigenaar van de foto. Indien de eigenaar van die foto op de Photo Removal Request link klikt zal de foto vervolgens verwijderd worden.

Arul legde uit dat twee parameters de photo_id en de Profile_id  kwetsbaar zijn en als de hacker de waarden van deze parameters met de Inspect Element functie van Google Chrome wijzigt, dan is de hacker in staat is om de Photo Removal Request link naar zijn eigen inbox te sturen, in plaats van tde inbox van de eigenaar van de foto.

HACKER PLAATS DETAILS HACK OP WALL VAN ZUCKERBERG

Khalil Shreateh een Palestijnse web ontwikkelaar en hacker vond een Facebook kwetsbaarheid die een hacker de mogelijkheid geeft informatie te plaatsen op de Wall/Tijdlijn van een slachtoffer zonder enige toestemming.

Na het melde van de bug naar et Facebook Beveiligingsteam die niet in staat was om de bug te recreëren. Had Khalil nog maar 1 optie en dat was de details van de hack op Mark Zuckerberg zijn (Bedenker van Facebook) Wall te plaatsen, als bewijs voor het security team.

Door de kwetsbaarheid kan elke Facebook gebruiker iets posten op de Wall van andere gebruikers – ook al zijn die gebruikers niet opgenomen in hun vriendenlijst.

Na het posten op Mark Zuckerberg zijn tijdlijn werd Khalil zijn Facebook account geblokkeerd voor het schenden van de gebruikers overeenkomt. Normaal word er een beloning in de vorm van geld uitgereikt aan de persoon die een bug meldt aan Facebook maar omdat Khalil zijn acties in schending waren met de algemene voorwaarden van Facebook werd hij niet uitbetaald voor zijn moeite.

FACEBOOK-APP LEKT PER ONGELUK PRIVEBERICHTEN

Een door Facebook ontwikkelde app voor Android die meer dan 5 miljoen keer gedownload is bevat een privacy lek waardoor afgeschermde privé berichten voor iedereen zichtbaar zijn. Het gaat om de Facebook page Manager die tussen de 5 en 10 miljoen downloads heeft.

De app heeft een privéberichten feature genaamd Messages. Daarmee kunnen Page managers met Facebook gebruikers communiceren die met de Facebook Page in kwestie contact zoeken.

Het probleem is dat als een Page Manager reageert op een privébericht van een bezoeker en hij een foto met zijn antwoord meestuurt, wordt de foto en de voorafgaande berichten op de Facebook-wall van de pagina geplaatst en is die voor iedereen meteen zichtbaar.

Facebook heeft het privacylek bevestigt en zegt aan een oplossing te gaan werken.