Facebook投票功能可刪除他人照片,專家發現漏洞獲1萬美元獎金

Facebook投票功能可刪除他人照片,專家發現漏洞獲1萬美元獎金
Photo Credit: Sascha Steinach / picture-alliance / dpa / AP Images / 達志影像
我們想讓你知道的是

Facebook今個月初推出的投票功能,被發現可用來刪除他人照片,發現漏洞的安全專家獲得獎金。

唸給你聽
powered by Cyberon

11月初Facebook推出新的投票功能,讓用戶可以詢問朋友、網友意見時,配上圖片甚至GIF動畫,對於有選擇困難的人或者非常有用——例如正為選擇吃甚麼、買甚麼東西而煩惱的時候,可以拍張照片問人(但只能二選一)。

不過有安全專家達拉比(Pouya Darabi)發現,利用配圖片這項功能的漏洞,可以刪除其他在Facebook上的圖片。

他撰文指出,當用戶建立投票時,會傳送含有GIF動畫網址或圖片編號的請求,假如將這項資料改為Facebook上另一張圖片的編號,貼出來的投票就會顯示新的圖片。此時如果用戶刪除投票,那張圖片就會在Facebook上跟投票一併被刪除。

利用這項漏洞,只要取得其他人在Facebook上的照片的編號,就可以將之刪除。以下是達拉比的示範影片︰

達拉比在今個月3號向Facebook匯報這項漏洞,半日後Facebook已提供臨時復修,並於兩日後解決問題。他在11月8日收到Facebook的1萬美元獎金。

兩年前亦有人發現Facebook另一漏洞,同樣可以刪除其他人的照片,獲得1.25萬美元獎金。其他人亦發現過可以刪除留言、影片的漏洞,均已修補。

相關文章︰

資料來源︰