Un chercheur en sécurité a découvert une faille permettant d’effacer des albums photo sur Facebook sans l’accord de leur propriétaire. Il a aussitôt prévenu le réseau social.
C’est sur son site que Laxman Muthiyah raconte son aventure. Ce chercheur en sécurité indien a découvert une faille dans l’API Graph de Facebook, l’outil de programmation mis à disposition des développeurs, qui permettait à un hacker d’effacer les photos des utilisateurs du réseau social.« N’importe quel album photo détenu par n’importe quel membre du réseau social, groupe ou page peut être supprimé », indique le chercheur avant de faire la démonstration de l’opération qu’il a pu réaliser en utilisant un jeton d’accès mobile de l’API sur son site et dans une vidéo.
Laxam Mutiyah aurait pu faire disparaître toutes les photos publiques du réseau social… mais il a préféré contacter Facebook pour prévenir ses équipes de cette vulnérabilité. La vitesse à laquelle l’entreprise a répondu au chercheur et a colmaté la faille, seulement quelques heures, montre combien le sujet était important. Avec 2 milliards de photos partagées sur Facebook et les autres sites du groupe chaque jour, la sécurité de ces données est évidemment stratégique.
Le réseau social l’a ensuite remercié de l’avoir prévenu en lui versant 12 500 dollars, dans le cadre de son programme de révélation de bugs et l’a ajouté à son Hall of Fame, la liste des personnes ayant participé à la sécurité du réseau social.
Pour l’heure, Facebook n’est pas au courant d’une quelconque exploitation de cette vulnérabilité.