北京時間9月3日早間消息，據(jù)美國網(wǎng)站sophos報道，一名自稱為“有志于道德黑客行為的安全熱心者”的印度電子和通信工程師表示，他已發(fā)現(xiàn)了Facebook的一個漏洞，這個漏洞允許該網(wǎng)站上的任何照片在其所有者不知情的情況下被刪除。

　　這位21歲的工程師名叫艾魯爾?庫馬爾(ArulKumar)，來自于印度南部的泰米爾納德邦，他稱其發(fā)現(xiàn)可在一分鐘內刪除Facebook網(wǎng)站上的任何照片，而無需與用戶進行任何互動，即使是在經(jīng)過認證的頁面上也是如此。庫馬爾已將這個漏洞上報給Facebook，并因此獲得了1.25萬美元的獎金。

　　這個漏洞是庫馬爾在對移動版FacabookSupportDashboard進行研究后發(fā)現(xiàn)的，這個門戶允許用戶追蹤向Facebook網(wǎng)站提交的任何報告的進展，包括用戶認為哪些照片應被刪除等。當用戶提交這種申請而Facebook并未刪除可疑照片時，用戶可選擇直接向圖片所有者發(fā)送刪除照片的請求。這樣做的結果是，F(xiàn)acebook會生成一個照片刪除鏈接，該鏈接隨后會被發(fā)送給信息接收者(即照片所有人)，接收者可點擊鏈接以刪除照片。

　　庫馬爾發(fā)現(xiàn)，在這種信息中有兩個參數(shù)很容易被修改，分別是“'photo_id”和“OwnersProfile_id”。通過改變這兩個參數(shù)，庫馬爾可以選擇刪除Facebook網(wǎng)站上的任何照片。在這一過程中，照片被刪的用戶不會以任何方式參與其中，而且也不會收到來自Facebook的任何信息。事實上，只有當用戶登錄以后發(fā)現(xiàn)自己的照片消失了才會知道。

　　庫馬爾解釋稱，這個漏洞可被用來刪除任何已認證用戶、頁面或群組的照片，以及來自于狀態(tài)信息、相簿、推薦帖子甚至是評論中的照片。

　　庫馬爾將這一漏洞的細節(jié)發(fā)給了Facebook安全團隊，后者一開始不能通過他所說的方法來刪除任何照片。隨后，庫馬爾又使用一個演示賬號來對這個漏洞進行了說明，此外還向Facebook發(fā)出了一段概念視頻作為證據(jù)，以證明他可以從馬克?扎克伯格(MarkZuckerberg)的相簿中刪除后者自己的照片。這一次Facebook安全團隊的一名成員證實確實存在該漏洞，并表示將在“明天早上的某個時候”作出修復。