فیسبوک به کاشف یک باگ در ویدیوهای خود پاداشی 10 هزار دلاری اعطا کرد

دیجیاتو؛ روش ملامد برای این هک به طرزی باورنکردنی ساده و پیش پا افتاده بود. او برای این کار از URL ای استفاده کرد که می توانست در حین بارگذاری ویدیو به آن دسترسی داشته باشد. کاری که ملامد انجام داد تغییر پارامتری کوتاه از لینکی بود که برای درخواست بارگذاری ویدیو به فیسبوک ارسال می شود:

composer_unpublished_photo[0]=<Video ID>

بخش Video ID در لینک بالا در واقع کد شناسایی ویدیویی بود که ملامد آن را بارگذاری می کرد. وقتی که او جلوی درخواست بارگذاری ویدیو را می گرفت می توانست Video ID لینک بالا را با Video ID هر ویدیویی که در فیسبوک بارگذاری شده عوض کرده و به آپلود ادامه دهد. این بدان معناست که ملامد می توانست با تغییر یک پارامتر ساده در وسط راه بارگذاری، ویدیوی دیگری را به سرورهای فیسبوک بفرستد.

وقتی که این ID تغییر داده می شود، فیسبوک در عین نمایش پیغام خطا آن ویدیو را به طور کامل بارگذاری می نماید. بنابراین ملامد با این ترفند می توانست به کلیه ویدیوهایی که بارگذاری می کرد (حتی آن هایی که مال خودش نبود) کنترل کامل داشته باشد. به طور دقیق تر می توانست به تنظیمات ویدیو (مثل مدیریت نظرات) دسترسی داشته و حتی آن ها را به طور کامل از سرورهای فیسبوک پاک کند.

حقه بسیار جالبی است که شاید شما را همین الان برای امتحان کردن وسوسه کرده باشد. اما خبر بدی برایتان داریم: فیسبوک چندی پیش با ارائه یک آپدیت این باگ را برطرف کرد.

گاهی اوقات وجود حفره های امنیتی ساده ای مثل این مورد می تواند پیامدهای بسیار بزرگی را به همراه داشته باشد. کسی چه می داند، شاید هکرهای بلک هتی بوده اند که مدت ها پیش از ملامد به وجود این باگ پی برده و از آن برای پاک کردن بسیاری از ویدیوهای فیسبوک استفاده کرده باشند.

ولی در هر صورت نمی توان کتمان کرد که گزارش دادن موارد این چنینی مزایایی مثل دریافت 10 هزار دلار پاداش را هم با خود به همراه دارد.