为何Facebook这个严重漏洞，让骇客能任意删除用户影片

资安研究人员Dan Melamed于23日在部落格揭露，Facebook有个严重的源代码漏洞，允许骇客不用取得特定的身份权限或是身份验证，就能利用该漏洞删除Facebook上的任何影片，还可以停用Facebook影片下面的评论。目前，Facebook已经对外公开此漏洞，并且发放回报漏洞奖金10,000美元（约新台币31万元）给Dan Melamed。

Dan Melamed在2016年6月就发现Facebook上存有此漏洞，并且上传影片通报Facebook。在通报影片里面，骇客可以建立一个Facebook的活动页，上传影片至Facebook。然后，拦截Facebook发布影片的请求，Facebook会出现“你的影片现在正处理中。我们将在处理完成之后通知你”的请求视窗。该视窗源代码会呈现个人资料ID（av=）跟刚上传影片的ID（=

接着，骇客利用刚上传影片的ID，替换成用户上传影片ID，用户的影片就会出现骇客建立的活动页上面，成为骇客上传的影片。最后，骇客只要在活动页删除用户的影片，就一并删除用户上传至Facebook上的影片。骇客只要花不到5分钟的时间，就能够删除任何一个上传Facebook的影片。除此之外，骇客也可以利用此方法，停用用户影片下的评论。

Dan Melamed在去年6月就回报Facebook存在此漏洞，直到今年1月23日才对外公布此漏洞。此外，资安研究人员Pranan Hivarekar也在去年发现，骇客可以任意删除Facebook影片另一个漏洞。Facebook已经在去年6月修补此漏洞，也发放回报漏洞奖金给Pranan Hivarekar。
 

Dan Melamed示范如何利用Facebook漏洞，删除用户上船的影片。影片来源：Dan Melamed