یک محقق امنیتی اعلام کرده پس از گزارش یک آسیب پذیری به فیس بوک، از این شرکت ۱۰ هزار دلار به عنوان جایزه دریافت کرده است. بهره برداری از این آسیب پذیری به مهاجم اجازه می دهد تا تمامی تصاویر بر روی این شبکه ی اجتماعی را حذف کند. در اوایل ماه نوامبر فیس بوک ویژگی را معرفی کرد که به کاربران اجازه می داد نظرسنجی حاوی پیام و انیمیشن پست کنند. یک محقق امنیتی ایرانی به نام پویا دارابی پس از انتشار این ویژگی آن را مورد بررسی قرار داد و متوجه شد در آن یک آسیب پذیری وجود دارد که به راحتی قابل بهره برداری است.
زمانیکه کاربر یک نظرسنجی ایجاد میکند، درخواستی که به سرور فیسبوک ارسال میشود، دارای شناسهی تصویری است که کاربر آن را به نظرسنجی اضافه کرده است. این محقق متوجه شد که کاربران میتوانند در این فیلد شناسه، شناسهی هر تصویر دیگری را قرار دهند تا این تصویر در نظرسنجی نمایش داده شود. دارابی متوجه شد پس از اینکه صاحبِ پست، نظرسنجی را حذف میکند، تصویری که شناسهی آن را در بخش شناسهی درخواستِ ارسالی، وارد کرده بودند نیز حذف میشود.
این آسیبپذیری در تاریخ ۳ نوامبر به فیسبوک گزارش شد و همان روز یک راهحل موقت برای آن در نظر گرفته شد. وصلهی کامل برای برطرف کردن این آسیبپذیری در تاریخ ۵ نوامبر منتشر شد. دارابی اعلام کرد برای گزارش این آسیبپذیری، ۱۰ هزار دلار جایزه دریافت کرده و در یک پست وبلاگی این آسیبپذیری را در قالب یک ویدئو توضیح داده است. این اولین بار نیست که دارابی جایزههای کلانی را از فیسبوک دریافت میکند. در سال ۲۰۱۵ میلادی، فیسبوک به دارابی برای دور زدن راهکار حفاظتی CSRF مقدار ۱۵ هزار دلار جایزه پرداخت کرده بود. او سال بعد نیز برای چنین آسیبپذیری ۷۵۰۰ دلار جایزه دریافت کرد.
چنین آسیبپذیریهایی در فیسبوک غیرعادی نیستند. در سالهای گذشته محققان آسیبپذیریهای متعددی را به فیسبوک گزارش دادند که بهرهبرداری از آنها منجر به حذف نظرات، ویدئوها و تصاویر میشود. آسیبپذیریهایی که بهرهبرداری از آنها مبتنی بر جایگرین کردن شناسهی منبعی است که میخواهیم آن را حذف کنیم، برای محققان نزدیک به ۱۰ هزار دلار جایزه در پی دارد. فیسبوک از سال ۲۰۱۱ میلادی که برنامهی پاداش در ازای اشکال خود را راهاندازی کرده، به محققان برای کشف آسیبپذیریها در این شبکهی اجتماعی، میلیونها دلار جایزه پرداخت کرده است.
