Jika menurut Anda sebuah situs web yang nilainya lebih dari $ 500 miliar tidak memiliki kerentanan apapun di dalamnya, maka Anda salah.
Pouya Darabi, seorang pengembang web Iran, menemukan dan melaporkan kerentanan kritis namun mudah di Facebook awal bulan ini yang memungkinkan seseorang menghapus foto dari platform media sosial.
Kerentanan tersebut ada di fitur Poll baru Facebook, diluncurkan oleh raksasa media sosial awal bulan ini, karena memberikan jajak pendapat yang mencakup gambar dan animasi GIF.
Darabi menganalisis fitur tersebut dan menemukan bahwa saat membuat jajak pendapat baru, siapapun dapat dengan mudah mengganti ID gambar (atau URL gif) dalam permintaan yang dikirim ke server Facebook dengan ID gambar dari setiap foto di jaringan media sosial.
Sekarang, setelah mengirim permintaan dengan ID gambar pengguna lain (upload oleh orang lain), foto itu akan muncul dalam polling.
“Setiap kali pengguna mencoba membuat polling, permintaan yang berisi URL gif atau id gambar akan dikirim, poll_question_data [options] [] [associated_image_id] berisi id gambar yang diunggah,” kata Darabi. “Bila nilai bidang ini berubah menjadi ID gambar lainnya, gambar itu akan ditampilkan dalam polling.”
Rupanya, jika pencipta polling menghapus posting tersebut (polling), seperti yang ditunjukkan pada video di atas, pada akhirnya akan menghapus juga foto sumber, yang ID gambarnya ditambahkan ke permintaan – bahkan jika pencipta po
lling tidak memiliki foto itu.
Peneliti tersebut mengatakan bahwa dia menerima $ 10.000 sebagai hadiah bingkisan bug dari Facebook setelah dia bertanggung jawab melaporkan kerentanan ini ke jaringan media sosial pada tanggal 3 November. Facebook menambal masalah ini pada tanggal 5 November.
Ini bukan pertama kalinya Facebook ditemukan menghadapi kerentanan semacam itu. Di masa lalu, para periset menemukan dan melaporkan beberapa masalah yang memungkinkan mereka menghapus video, album foto, dan komentar dan memodifikasi pesan dari platform media sosial.
Darabi juga telah diberikan oleh Facebook dengan hadiah bug $ 15.000 untuk melewati sistem perlindungan pemalsuan permintaan lintas situs (CSR 2015) dan $ 7.500 untuk masalah serupa (tahun 2016).
