Ошибка в Facebook позволяла удалить любое видео

С тех пор метод больше не работает, но дыра в системе присутствовала довольно долгое время, поскольку исследователь сообщил о ней компании ещё 29 июня 2016 года, а получил свою награду всего через несколько недель после этого, сообщает "3Dnews".

Facebook подтвердила, что баг был исправлен в июле.

Метод Меламеда невероятно прост и задействует часть URL-адреса, которую он смог перехватить в процессе загрузки в Facebook своего видеоролика на собственноручно созданную страницу. Исследователь перехватил запрос на публикацию видео и взял следующий параметр: composer_unpublished_photo[0]=

Элемент Video ID отвечает за идентификацию кода загружаемого видео. Меламед мог легко заменить элемент на идентификатор любого другого ролика, присутствовавшего в социальной сети, и при этом продолжить загрузку своего видеофайла. Это означает, что в процессе загрузки Меламед мог изменить параметры и отправить другое видео на серверы Facebook. При смене идентификатора сервис выдавал ошибку, но ролик загружался успешно.

После этого исследователь получал полный контроль над загруженным контентом, хотя это был и не его контент. Он мог делать с видео всё то, что мог бы делать со своим роликом — в частности, отключать комментарии или даже удалить запись.

Фото: "3Dnews".