Un experto en seguridad consiguió un método para borrar cualquier vídeo de Facebook, incluso aunque no fuese suyo.

Facebook ya es una de las plataformas de vídeo más importantes, además de red social; sin embargo, todo el mundo puede cometer errores cuando empieza.

 

Es lo que descubrió el pasado junio Dan Melamed, cuando leyó sobre una vulnerabilidad que permitía atacar vídeos subidos a Facebook; esto le inspiró para descubrir un nuevo método que le permitía tomar control sobre vídeos ajenos.

Lo interesante del método es que es absurdamente sencillo; tanto, que si se hubiese hecho público el caos estaría asegurado.

Cómo fue posible borrar cualquier vídeo de Facebook

El método implica crear un nuevo evento público, y en este crear un post con una imagen o vídeo; si capturamos la petición que el navegador hace al servidor en ese momento, encontraremos un parámetro llamado “composer_unpublished_photo[0]=<Video ID>”.

facebook video bug

Normalmente “Video ID” es una hilera de números, el identificador de nuestro vídeo. El bug consiste en que podemos cambiar ese valor por el de cualquier vídeo subido a los servidores de Facebook.

Aunque la web mostrará un error cuando hagamos eso, a partir de entonces ese vídeo ajeno estará asociado a tu evento; y por lo tanto, puedes hacer lo que quieras con él, como borrarlo. Además, también podemos desactivar los comentarios.

Afortunadamente para Facebook, Melamed es un hacker “white hat”; así que avisó a la compañía del bug, y esperó hasta que estuviese arreglado para publicarlo.

A cambio, se llevó unos 10.000 dólares como recompensa. Así que el bug ya está arreglado; si querías gastar una broma pesada borrando un vídeo de otra persona, mala suerte.

Sin embargo, esta no deja de ser una historia curiosa, de cómo incluso los más grandes cometen errores; en este caso, dejar que el usuario pueda cambiar un valor tan importante como el identificador del vídeo.

Noticias relacionadas