Facebook, c'est 350 millions de photos postées chaque jour. Peut-on imaginer que tout cela disparaisse en un clin d'oeil ?

C'est pourtant possible. Du moins ça l'était. Laxman Muthiyah, checheur indien en sécurité, s'est aperçu en manipulant la Graph API. Quatre malheureuses lignes de code, une simple requête HTTP envoyé à cette API en REST pouvaient effacer, non pas toutes les photos, quand même, mais toutes les photos appartenant à la victime attaquée, qui vous aurait donné le droit de les voir :

DELETE /<victim's album in> HTTP/1.1
Host : graph.facebook.com
Content-Length: 245
access_token=<attacker's Facebook for Android token>

Aussi simple que cela :-)

Pour une fois Facebook a pris les choses très au sérieux à la réception du rapport de bug envoyé par Laxman. Après vérification, le réseau social a récompensé le chercheur par une prime de 12 500 dollars. Bravo à Laxman Muthiyah. Car cette énorme vulnérabilité aurait pu être vendue probablement bien plus chère auprès de personnes mal intentionnées, comme le mentionne ce billet de blog de Sophos qui raconte la découverte de cette faille.