Перейти до основного вмісту

Палестинець зламав сторінку Цукерберга в Facebook для доведення вразливості системи

19 серпня, 15:24

Фахівець з безпеки із Палестини Khalil Shreateh знайшов вразливість у соціальній мережі Facebook, яка дозволяє будь-кому написати до будь-чийого Timeline  – навіть користувачам, із якими ви не друзі.

Звіт про вразливість палестинець залишив на сторінці програми винагород, де, нагадаємо, мінімальна винагорода за знайдену вразливість становить $500, а максимального розміру немає. Халіл залишив у звіті про вразливість лінк на Timeline, де він залишив допис за допомогою знайденої вразливості.

Працівник команди безпеки Facebook за цим лінком нічого не побачив, бо він не є другом того користувача соцмережі. Він відповів, що бачить лише сповіщення про помилку коли клікає на лінк. Халіл відписав про це, і попросив зробити тестовий екаунт, на якому він продемонстрував би цю вразливість. Також Халіл додав, що може запостити щось і на стіну Марка (Цукерберга – ред.), але не буде цього робити, тому що поважає приватність. Команда Facebook проігнорувала цю відповідь.

Тоді Халіл надіслав ще один звіт разом із скріншотом, який доводить правоту його слів. Відповідь була дуже короткою: вибачте, але це не баг.

Халіл відповів їм, що не має іншого виходу як написати до Timeline Марка Цукерберга:

За кілька хвилин інженер з безпеки Facebook прокоментував зображення зі скріншотом на сторінці Халіла і попросив надіслати йому усі деталі про вразливість. Але ще за хвилину екаунт Халіла заблокували. Халіл зареєстрував ще один екаунт, і надіслав з нього звіт з описом цих подій та інформацією про вразливість.

Йому відписали, що заблокували екаунт як запобіжний засіб – тому що не розуміли що відбувається. Його звіти про уразливість вони назвали такими, що їм бракує технічних деталей. І що вони не можуть відповідати на звіти, у яких недостатньо інформації для відтворення проблемної ситуації. Крім того, соцмережа не може заплатити Халілові за знайдену вразливість – тому що його дії порушили умови користування соцмережею. Але екаунт Халілові відновили.

Інженер з безпеки Facebook Мен Джонс заявив, що демонструвати баги на екаунтах користувачів без їхнього відома – неприпустимо. Крім того, соцмережа дозволяє дослідникам створювати тестові екаунти за адресою www.facebook.com/whitehat/accounts для відповідального дослідження.

Delimiter 468x90 ad place

Підписуйтесь на свіжі новини:

Газета "День"
читати