Facebook: Fotos in fremden Konten konnten gelöscht werden

Facebook ist gemeinhin dafür bekannt, dass keine Inhalte, die erst mal auf dessen Servern gelandet sind, mehr verschwinden. Trotzdem sollte man nicht leichtfertig annehmen, dass wichtige Fotos bei dem Social Network perfekt aufgehoben wären - denn bis jetzt war es möglich, Bilder in fremden Accounts einfach zu löschen.

Herausgefunden wurde dies von Laxman Muthiyah, der in einem Screencast ausführlich demonstriert, wie sich Fotos aus verschiedenen Bereichen des Netzwerkes entfernen lassen. Das kann im schlimmsten Fall bedeuten, dass Anwender wichtige Andenken verlieren - beispielsweise wenn sie Fotos vom Smartphone hochluden und diese dann aus Gründen der Platzersparnis auf dem Gerät wieder löschten. Zumindest aber kann der Bug ordentlich Nerven kosten - vor allem, wenn man Facebook vielleicht sogar als Marketing-Tool für seine Firma oder Projekte nutzt.

Der Bug, der hierfür verantwortlich war, lag im Graph API. Hier wurde der Nutzer beim Bearbeiten seiner Inhalte mit einem Token ausgestattet, das auch auf anderen Accounts als gültiger Zugangsschlüssel anerkannt wurde. Mit diesem konnte man dann komplette Alben inklusive der darin einsortierten Bilder komplett vom Social Network löschen.

Den Trick herauszufinden wird wohl etwas Zeit und auch Glück in Anspruch genommen haben. Wenn man aber erst einmal weiß wie es funktioniert, ist alles ganz einfach. In seinem Video demonstrierte Muthiyah, wie komplette Bildersammlungen in Bruchteilen von Minuten aus Facebook entfernt werden können, wenn man einige Parameter, die mit dem URL übergeben werden, hin und her kopiert.

Inzwischen braucht aber wohl niemand mehr ausprobieren, ob er das Video nachvollziehen und ähnliche Löschungen vornehmen kann. Muthiyah informierte natürlich zuerst Facebook über das Problem und die dortigen Entwickler konnten den Fehler letztlich ausfindig machen und beheben. Der Finder des Bugs erhielt als Belohnung 12.500 Dollar aus Facebooks Bug Bounty-Programm.

Zum Thema: Facebook zahlt Rekordbelohnung für Königs-Lücke