پویا دارابی آسیب‌پذیری جدیدی در فیسبوک کشف کرد

اتفاقات اخیر نشان می‌دهد که حتی وب‌سایتی با ارزش ۵۰۰ میلیارد دلار نیز می‌تواند دارای حفره‌های امنیتی و آسیب‌پذیر باشد. پویا دارابی، برنامه‌نویس ایرانی، چندی پیش مشکلی امنیتی را کشف کرد که به واسطه‌ی آن می‌شد هر عکسی را از پلتفرم شبکه‌ی اجتماعی آسیب‌پذیر حذف کرد.

دارابی متوجه شد که هنگام ایجاد یک نظرسنجی جدید، در کدهای درخواستی که به سرور فیسبوک ارسال می‌شود هر کسی می‌تواند به‌راحتی آی‌دی تصویر یا آدرس فایل GIF را به هر عکس دیگری در این شبکه‌ی اجتماعی تغییر دهد.

بعد از ارسال درخواست با آی‌دی تصویر عوض‌شده، نظرسنجی مورد نظر با آن تصویر نمایش داده خواهد شد.

دارابی توضیح می‌دهد:

هروقت یک کاربر بخواهد نظرسنجی ایجاد کند، درخواستی حاوی یوآرال فایل GIF یا آی‌دی تصویر به شکل poll_question_data[options][][associated_image_id] ارسال می‌شود. وقتی مقادیر این فیلد به آیدی تصویر دیگری تغییر کند، آن تصویر در نظرسنجی به نمایش درخواهد آمد.

همان‌طور که در ویدیوی فوق می‌بینید، ظاهرا اگر ایجادکننده‌ی نظرسنجی آن را پاک کند، تصویری که آی‌دی آن در نظرسنجی قرار گرفته بود نیز پاک می‌شود؛ حتی اگر عکس متعلق به سازنده‌ی نظرسنجی نباشد.

پویا دارابی می‌گوید بعد از گزارش این آسیب‌پذیری به فیس‌بوک در سوم نوامبر، مبلغ ۱۰ هزار دلار پاداش دریافت کرده است. فیسبوک دو روز بعد، در پنجم نوامبر، مشکل را حل کرد.

این اولین بار نیست که فیسبوک دچار آسیب‌پذیری‌های امنیتی شده است. در گذشته نیز محققان مشکلاتی کشف کرده بودند که به کاربران اجازه‌ی حذف ویدیوها، آلبوم‌های عکس و حذف کامنت و ویرایش پیام‌ها را می‌داد.

دارابی پیش‌تر نیز به دلیل کشف مشکلات امنیتی پاداش‌هایی از فیسبوک دریافت کرده بود. این محقق در سال ۲۰۱۵ با عبور از سیستم حفاظتی CSRF در فیسبوک ۱۵ هزار دلار و در سال ۲۰۱۶ با کشف مشکلی مشابه ۷۵۰۰ دلار از فیسبوک پاداش گرفته بود.