Лаксман Мутиях, исследователь информационной безопасности из Индии, не единожды получал вознаграждения за найденные им уязвимости в различных программах. Два раза им уже были зафиксированы бреши в коде Facebook. Теперь экспертом обнаружена и третья уязвимость, которая даёт возможность осуществлять взломы страниц компаний и различных групп в социальной сети Facebook.
Ранее специалистом уже была обнаружена уязвимость, с помощью которой можно удалить чужие фотоальбомы. За это Мутиях получил вознаграждение от социальной сети в размере 12500 долларов. Спустя месяц после этого, им была обнаружена брешь в Facebook Photo Sync feature: премия специалисту составила 10000 долларов. Теперь экспертом зафиксирована уязвимость, используя которую злоумышленник может взломать страницы различных фирм и сообществ, то есть страницы, которые управляются не одним пользователем.
Мутиях написал в своем блоге о том, что посторонние приложения могут практически полностью захватить контроль над страницей в Facebook. Результатом этого будет полная утрата жертвой своих прав администратора.
Посторонние приложения могут осуществлять практически любые операции, включая публикацию статусов от имени пользователя, фотографий, выполнение других задач, хотя Facebook, казалось бы, и не разрешает им добавлять кого-либо в список администраторов страницы или модифицировать его.
Однако Facebook дает администраторам возможность присваивать различные функции людям, которые состоят в организации или группе, используя специальное разрешение доступа manage_pages, которые запрашивается посторонними приложениями. По причине этого, по мнению эксперта, злоумышленник, используя простую последовательность запросов, может получить права администратора в определенной странице Facebook.
Эксперт уже передал сведения об уязвимости в Facebook, и ему было выплачено вознаграждение в размере 2500 долларов. Хотя сотрудники Facebook и утверждают, что брешь была ими устранена, эксперт всё же считает, что пользователи должны внимательно следить за тем, какой доступ и к чему именно они предоставляют посторонним приложениям.