Pouya Darabi, pesquisador de segurança iraniano, recebeu US$ 10 mil por informar ao Facebook a existência de uma vulnerabilidade que permitia a exclusão de fotos de qualquer usuário da rede social.
A descoberta foi realizada após o Facebook anunciar uma nova ferramenta para realizar enquetes com imagens e animações GIF. Duradi analisou o recurso pouco depois do lançamento e descobriu que existia uma falha bastante fácil de ser explorada.
Para gerar as enquetes, os usuários podem inserir fotos ou GIFs. No entanto, o pesquisador percebeu que poderia substituir o ID da imagem utilizada por outro de qualquer foto da rede social. O problema estava no fato de que, uma vez que o criador da enquete apagasse a postagem, a imagem cujo ID foi adicionado a publicação também seria removida do Facebook. Que problema, não?
Daradi informou a vulnerabilidade no último 3 de novembro e uma correção temporária foi lançada no mesmo dia. Além disso, o patch completo foi disponibilizado em 5 de novembro. Por isso, voltamos ao velho discurso, a atualização de aplicativos é uma prática fundamental e vital para a segurança de seus dados.
Não é a primeira vez que Daradi recebe uma recompensa da empresa: em 2015, o pesquisador ganhou US$ 15 mil por conseguir burlar os sistemas de proteção contra falsificação de solicitações (CSRF). E em 2016, ele recebeu mais US$ 7.500 por uma falha semelhante.
Desde 2011, com o lançamento do programa de recompensas de insetos, o Facebook já pagou milhões de dólares para pesquisadores que encontraram vulnerabilidades.