Facebookに他人の写真を無断で削除できる重大なバグが見つかる

By Master OSM 2011

「アルバム内の写真を見ず知らずの第三者が簡単に全削除できる」という致命的なバグがFacebookで見つかりました。

7xter: How I Hacked Your Facebook Photos
http://www.7xter.com/2015/02/how-i-hacked-your-facebook-photos.html

Facebook Graph API Bug Exposes Vulnerability | ProgrammableWeb
http://www.programmableweb.com/news/facebook-graph-api-bug-exposes-vulnerability/2015/02/12

Laxman Muthiyahさんは、アルバム内の写真ファイルを削除しようとしてFacebookのGraph APIのアクセストークンを試したときに、Graph APIがユーザー認証を行っていないことに気づきました。これは、Graph APIでアルバムの削除リクエストを出せば、誰でも他人のアルバム内の写真をすべて消去できる状態にあったということです。

もし悪意あるユーザーが発見していればFacebookの写真データが根こそぎ葬り去られかねない致命的なバグでしたが、Muthiyahさんからの連絡により、現在は対処が済んでいるとのこと。

なお、Muthiyahさんは今回のバグの報告によって、1万2500ドル(約150万円)の報奨金を得たとのことです。