庫馬爾發現,在這種信息中有兩個參數很輕易被修改,分別是“'photo_id”和“Owners Profile_id”。這一次Facebook安全團隊的一名成員證明確實存在該漏洞,并表示將在“明天早上的某個時候”作出修復����。通過改變這兩個參數,庫馬爾可以選擇刪除Facebook網站上的任何照片��。庫馬爾將這一漏洞的細節發給了Facebook安全團隊,后者一開始不能通過他所說的方法來刪除任何照片���。
這個漏洞是庫馬爾在對移動版Facabook Support Dashboard進行研究后發現的,這個門戶答應用戶追蹤向Facebook網站提交的任何講演的進展����,包括用戶以為哪些照片應被刪除等�。事實上����,只有當用戶登錄以后發現自己的照片消失了才會知道。隨后����,庫馬爾又使用一個演示賬號來對這個漏洞進行了說明�����,此外還向Facebook發出了一段概念視頻作為證據��,以證實他可以從馬克·扎克伯格(Mark Zuckerberg)的相簿中刪除后者自己的照片�����。這樣做的結果是,Facebook會天生一個照片刪除鏈接����,該鏈接隨后會被發送給信息接收者(即照片所有人)�,接收者可點擊鏈接以刪除照片��。當用戶提交這種申請而Facebook并未刪除可疑照片時���,用戶可選擇直接向圖片所有者發送刪除照片的哀求�。在這一過程中,照片被刪的用戶不會以任何方式介入其中�����,而且也不會收到來自Facebook的任何信息��。庫馬爾解釋稱�����,這個漏洞可被用來刪除任何已認證用戶、頁面或群組的照片�����,以及來自于狀態信息�、相簿、推薦帖子甚至是評論中的照片���。
粵公網安備44011302004697
