¿Qué pasaría si un día todas tus fotos de Facebook desaparecen sin previo aviso? ¿cuántas de esas fotos se te ha ocurrido respaldar? Es una posibilidad que infundiría terror en muchos. O al menos era una posibilidad.

El investigador de seguridad Laxman Muthiyah descubrió un método que le permitía no solo borrar sus propias fotos, incluso álbumes enteros, sino también las de cualquier otro usuario en la red social. Para ello se valió de un error de software en la Graph API, que forma el núcleo de la plataforma de Facebook y le permite a desarrolladores leer y escribir datos en el sitio.

Por lo general la Graph API requiere un token de seguridad para accesar a los datos de los usuarios, lo cual limita el acceso a una app únicamente. Sin embarlo Laxman descubrió que el token generado por la app de Facebook para móbiles era suficiente para autenticarse, y luego de enviar un pedido HTTP a la Graph API con el número de identificación del álbum de la víctima y su token de seguridad logró su cometido.

Para alguien con un poco de conocimiento técnico que quisiera realizar este ataque el código luciría algo así:

Request :-
DELETE /<Victim's_photo_album_id> HTTP/1.1
Host : graph.facebook.com
Content-Length: 245
access_token=<Your(Attacker)_Facebook_for_Android_Access_Token>

Afortunadamente esto ya no funciona. Laxman reportó su descubrimiento a Facebook, que se encargó de solucionar el problema en cuestión de dos horas. Por ayudar a corregir un error potencialmente dañino para toda la red social Laxman recibió una recompensa de $12,500 como parte del programa Bug Bounty de Facebook.