Una vulnerabilidad grave en Facebook ha sido recientemente reportada, el fallo permite a cualquiera borrar completamente un álbum de fotos sin requerir autenticación.

El investigador de Seguridad Laxman Muthiyah dijo a The Hacker News que la vulnerabilidad en realidad reside en el mecanismo de la API Graph, la cual permite "que un atacante borre cualquier álbum en Facebook. Cualquier álbum de fotos, página o grupo propiedad del usuario podría ser borrada."

De acuerdo con la documentación de los desarrolladores de Facebook, no es posible borrar álbumes usando la API Graph, sin embargo, un investigador de seguridad hindú ha encontrado la manera de borrarlos, no sólo los propios, sino también los álbumes de Facebook de otros usuarios en unos cuantos segundos. 

"Decidí probarlo con el token de acceso de Facebook para móviles porque podemos ver la opción de borrar todos los álbumes de fotos en la aplicación, ¿o no- Pues sí y también usan la misma API Graph", comentó.

En general, la API Graph de Facebook requiere un token de acceso para leer o escribir datos de los usuarios, el cual da acceso limitado a sólo una aplicación. Sin embargo, Laxman descubrió que su propio token de acceso generado para la versión móvil de Facebook podría ser explotado para remover cualquier álbum de fotos publicado por cualquier usuario de Facebook.

Con el fin de eliminar un álbum de fotos de la cuenta de Facebook de la víctima, el atacante sólo tiene que enviar una petición HTTP a la API Graph con el ID del álbum y el propio token de acceso del atacante generado para la aplicación de Facebook para Android.

Petición muestra:

Request :-
DELETE /<Victim's_photo_album_id> HTTP/1.1
Host : graph.facebook.com 
Content-Length: 245
access_token=<Your(Attacker)_Facebook_for_Android_Access_Token>

Puedes ver un video con la demostración aquí.

El programa de recompensas de identificación de errores de Facebook lo premió con 12,500 dólares por ayudar al equipo de seguridad de Facebook a corregir este fallo crítico.