Yksi mies olisi voinut tuhota kaikki Facebookissa näkemänsä kuvat tällä koodilla

Käyttäjät lataavat Facebookiin päivittäin hurjat 350 miljoonaa kuvaa.

Tietoturvayhtiö Sophos kertoo uskomattomalta kuulostavan tapauksen siitä, miten haavoittuvia bittimaailmassa olevat kuvat kuitenkin ovat.

Tietoturvatutkija Laxman Muthiyah huomasi, että hän pystyisi tuhoamaan kuvia yksinkertaisella koodinpätkällä. Käytännössä tilanne koski mitä tahansa Facebookissa julkiseksi määriteltyä kuvaa. Esimerkiksi käyttäjien profiilikuvat ja kansikuvat ovat Facebookissa oletusarvoisesti julkisia.

"Hänen löytämänsä bugi oli ase. Sillä ei olisi tapettu ketään, mutta sillä olisi voitu aiheuttaa surua miljoonille"

Kaikkien Facebookin käyttäjien onneksi Muthiyah kuitenkin ilmoitti bugista välittömästi Facebookille. Palkkioksi hän sai 12,500 dollaria, joka saattaa kuulostaa melko pieneltä summalta tämän kokoluokan pelastuksesta.

Facebook korjasi bugin harvinaisen vikkelästi. Vika oli korjattu kahden tunnin sisällä.

Mitä jos mies olisikin päättänyt toimia aivan toisella tavalla?

Sophos kirjoittaa sivuillaan, että Muthiyah olisi voinut toimia aivan eri tavallakin. 

-Hänen löytämänsä bugi oli ase. Sillä ei olisi tapettu ketään, mutta sillä olisi voitu aiheuttaa surua miljoonille, huomauttaa sivusto.

Muthiyah olisi esimerkiksi saattanut myydä koodin jollekin kolmannelle osapuolelle ja hän olisi näin saanut varmasti huomattavasti enemmän rahaa.

Yksinkertainen avain tuhoamiseen: Neljä riviä koodia

CTK / Lehtikuva

Ehkäpä hämmästyttävintä koko jupakassa on se, miten yksinkertaiset avaimet mahdollistivat kuvien tuhoamisen.

Facebookin julkisten kuvien tuhoaminen olisi onnistunut nimittäin vain neljällä rivillä koodia ja kännykällä.

Muthiyah havaitsi koodin kikkailtuaan Facebookin virallisen ohjelmointirajapinnan (API) kanssa. Ohjelmointirajapinta on pelkistetty koodia sisältävä käyttöliittymä.

Ohjelmointirajapinnan käyttäjien ei pitäisi päästä tuhoamaan tai muokkaamaan toisille käyttäjille kuuluvia asioita. Muthiyah havaitsi, että bugin avulla hän pystyisi kuitenkin juuri tähän.

Jos hänellä oli vain kuvakansion id-numero ja lupa katsoa sitä, niin hän olisi voinut tuhota sen saman tien.

Facebookin kuvat tuhoava koodi sisälsi oheisen neljän rivin pätkän:

DELETE /<victim's album in> HTTP/1.1
Host : graph.facebook.com
Content-Length: 245
access_token=<attacker's Facebook for Android token>

Sophos arvelee, että Facebook olisi luultavasti pystynyt rajoittamaan yhdeltä koneelta tulevia kuvien tuhoamiskomentoja. Mutta jos tuhoamisen taakse olisi valjastettu lisää hevosvoimia, niin tilanne olisi saattanut olla jo aivan toisenlainen. Verkosta kun löytyy jopa 60 000 tietokoneen botnet-verkkoja, jotka olisivat jo saaneet mahdollisesti huomattavankin paljon tuhoa aikaiseksi.

Jos tästä tapauksesta jotain opitaan, niin ainakin se, että taitaa olla viisainta säilyttää ne itselle tärkeät kuvat myös jossain muualla kuin pelkissä sosiaalisen median palveluissa.