La vitesse à laquelle Facebook a répondu à une vulnérabilité permettant à un pirate d'effacer les photos de ses membres, montre combien la protection de ces dernières est cruciale pour le réseau social. Il faut dire qu'avec plus de 2 milliards de photos partagées chaque jour sur la plate-forme, d'après son CEO Mark Zuckerberg, ce service est particulièrement stratégique.
Un développeur externe a ainsi découvert une faille dans l'API Graph de Facebook, qui rappelons-le permet de concevoir des apps et des logiciels reposant sur les données issues du géant du réseau social. L'exploitation de cette vulnérabilité permet d'effacer les photos de membres du réseau. Le développeur en question, qui se présente comme étant Laxam Muthiyah, a expliqué qu'il a été capable d'utiliser un jeton d'accès mobile de l'API afin d'effacer des albums photos qui n'étaient pas les siens. Ayant porté cette vulnérabilité à la connaissance de Facebook, ce dernier a réagi très rapidement et proposé un correctif en deux heures. Le réseau social l'a remercié en lui versant 12 500 dollars dans le cadre de son programme bug bounty, qu'il a par ailleurs récemment musclé.
Aucune exploitation de la vulnérabilité pour l'heure connue
Pour l'heure, Facebook n'est pas au courant d'une quelconque exploitation de cette vulnérabilité selon une source interne, nécessitant notamment que le pirate ait connaissance de l'ID de l'album photo à effacer. Toutefois, ce problème ne pouvait en aucun cas permettre de se connecter à un autre compte utilisateur ni d'accéder à des informations de compte.
La somme de 12 500 dollars qui a été versée est supérieure à la moyenne des primes habituellement attribuées par Facebook pour trouver des bugs, elle tourne plutôt autour des 500 dollars. L'année dernière, un ingénieur informaticien a reçu 33 500 dollars pour la découverte d'une vulnérabilité qui aurait pu permettre à un pirate de lire n'importe quel fichier sur un serveur de Facebook.