A vulnerabilidade estava em um erro na lógica do Facebook criado após a rede social liberar comentários com vídeos.
Segundo o relato do pesquisador (leia aqui, em inglês), o problema estava na forma que o Facebook associava os vídeos aos comentários. Enviando um certo comando ao Facebook, era possível criar um comentário com qualquer vídeo publicado na rede social, mesmo que o vídeo fosse de outra pessoa. Quando esse comentário fosse apagado, o vídeo seria apagado junto, mesmo quando ele não pertencia ao mesmo usuário que fez o comentário.
O problema foi relatado ao Facebook por Hivarekar no dia 10 de junho, menos de um dia depois do recurso de comentários em vídeos ser anunciado pela rede social, no dia 9. O problema foi corrigido pela rede social algumas horas depois.
Como o Facebook possui um programa de recompensas por informações de brechas, Hivarekar foi pago pela colaboração. Ele não revelou o valor, mas disse que foi de "cinco dígitos", o que significa ao menos dez mil dólares (cerca de R$ 34 mil).
O Facebook já teve duas brechas semelhantes, uma encontrada em 2013 e outra em 2015, que permitiam apagar qualquer foto na rede social. As duas brechas também foram descobertas por pesquisadores de segurança indianos: Laxman Muthiyah em 2015 e Arul Kumar em 2013. Cada um recebeu US$ 12,5 mil do Facebook.
Fonte: http://g1.globo.com/tecnologia/blog/seguranca-digital/post/brecha-no-facebook-permitia-apagar-qualquer-video-da-rede-social.html / por Altieres Rohr
Image already added