Dalam blognya, Kumar menjelaskan bagaimana celah tersebut bisa mengeksploitasi Facebook Support Dashboard. Celah keamanan ini dikategorikan sebagai 'critical' atau cukup berbahaya.
Disebutkan Kumar, seperti dilansir Cnet, Selasa (3/9/2013), celah yang ditemukannya bekerja pada semua browser, versi apa saja. Namun sebagian besar eksploitasi terjadi melalui perangkat mobile.
Facebook Support Dashboard, digunakan untuk mengirim permintaan Photo Removal ke Facebook. Nantinya, laporan akan ditinjau oleh pegawai Facebook di bagian ini. Atau alternatif lainnya, laporan akan dikirim secara langsung ke pemilik foto. Selanjutnya, sebuah link akan muncul untuk menghapus foto yang dimaksud.
Dalam proses ini, saat mengirim pesan, ada dua parameter yang rentan yakni Photo id dan Owners Profile id. Jika dimodifikasi, hacker bisa menerima link permintaan penghapusan foto di inbox mereka. Tentu saja, tanpa sepengetahuan si pemilik akun atau foto.
"Foto apapun yang sudah diupload bisa dihapus, baik itu foto yang terpampang di sebuah page atau akun, foto yang sudah dibagi atau foto yang ditag orang lain," kata Kumar.
Beruntungnya Kumar, Facebook mengapresiasi laporannya. Facebook sendiri memang memiliki program Bug Bounty, yakni program yang mendorong para peneliti keamanan melaporkan temuan mereka dan akan diberi hadiah. Saat ini, Facebook telah memperbaiki celah tersebut.
(rns/ash)
