Mais de 350 milhões de fotos são publicadas no Facebook todos os dias. Seria um trabalhão recuperá-las caso alguma pessoa mal-intencionada decidisse executar um comando para deletar os álbuns dos usuários. Mas é exatamente isso que uma falha de segurança do Facebook permitia fazer — ela foi descoberta pelo pesquisador de segurança Laxman Muthiyah e prontamente corrigida pela rede social.
Muthiyah descobriu o problema enquanto estava trabalhando com a Graph API, que também é usada pelos aplicativos móveis do Facebook para excluir álbuns de fotos da rede social — mas, obviamente, os seus álbuns, não os de outros usuários. O Naked Security descreve a falha, que podia ser explorada com uma requisição HTTP simples, de quatro linhas. Assim:
DELETE /id-do-álbum-da-vítima HTTP/1.1
Host: graph.facebook.com
Content-Length: 245
access_token=token-de-acesso-do-atacante
Os IDs dos álbuns de fotos do Facebook são números sequenciais, logo, qualquer pessoa com conhecimento básico em programação poderia ter facilmente criado um código para excluir centenas, milhares ou milhões de fotos em massa, até que o Facebook percebesse que algo estava errado. Já o token é uma sequência de caracteres aleatórios usada por aplicativos para se autenticar ao Facebook; no teste, Muthiyah usou um token do Facebook para Android.
É bem provável que o Facebook já tivesse alguma proteção interna que impedisse a exclusão de bilhões de fotos em massa, como algum limite de requisições na API, mas essa trava poderia ser burlada com uma botnet de milhares de computadores, servidores e smartphones infectados.
Em vez de continuar explorando a falha, vender a vulnerabilidade no mercado negro ou chantagear o Facebook, Muthiyah decidiu reportá-la diretamente à rede social, que corrigiu o problema em apenas duas horas. Como recompensa, o Facebook pagou US$ 12.500 ao pesquisador — o que parece até pouco, considerando a gravidade do problema.