近代人應該這幾年使用臉書的照片上傳打卡功能不少,你我在臉書上面的照片應該都已經數不清到底有幾張了, 前陣子是駭客可以破解相關iCloud、Facebook上面的帳號或圖片,這次則是一個新的問題, 就是駭客們可以任意的刪除你的Facebook照片啊!!!
一位網友Laxman Muthiyah在最近發了篇文章《How I hacked your Facebook photos?》 在他的文章結果中證明一件事, 只要能夠發出以下的HTTP Request請求,就能夠把你的臉書照片給任意刪除了!
Request :- DELETE /(Victim's_photo_album_id) HTTP/1.1 Host : graph.facebook.com Content-Length: 245 access_token=(Your(Attacker)_Facebook_for_Android_Access_Token)
只要在HTTP的請求中放上你的照片ID,配上你自己的Facebook登入token, 不需要是被害者的身分權杖,只需要你自己的...就可以任意的刪除其他人的相簿了!!!!! 而且對方完全不會發覺!!!其實這個測試是這名網友發現Facebook提供的Graph API只是個基於HTTP的網路請求溝通方式, 他在測試的過程中發現,只要給Graph API自己的身分權杖(Access token),就能夠任意刪除其他人的照片, 也因為回報這條issue,他獲得了1萬2500元美金的報酬! 目前這條issue已經被解決了,對臉書來說,這條問題如果持續存在,可能的傷害超過一萬兩千美金啦!!!