рус
Подписка

Горячие темы:

Палестинец сломал страницу Цукерберга в Facebook для доказательства уязвимости системы

19 августа, 15:24

Специалист по безопасности из Палестины Khalil Shreateh нашел уязвимость в социальной сети Facebook, которая позволяет любому написать на чьем-либо Timeline - даже пользователям, с которыми вы не друзья.

Отчет об уязвимости палестинец оставил на странице программы вознаграждений, где, напомним, минимальное вознаграждение за найденную уязвимость составляет $500, а максимального размера нет. Халил оставил в отчете об уязвимости ссылку на Timeline, где он оставил сообщение с помощью найденной уязвимости.

Работник команды безопасности Facebook по этой ссылке ничего не увидел, потому что он не является другом того пользователя соцсети. Он ответил, что видит только уведомления об ошибке когда кликает на ссылку. Халил отписал об этом, и попросил сделать тестовый аккаунт, на котором он продемонстрировал бы эту уязвимость. Также Халил добавил, что может запостить что-то и на стену Марка (Цукерберга - ред.), но не будет этого делать, потому что уважает приватность. Команда Facebook проигнорировала этот ответ.

Тогда Халил послал еще один отчет вместе со скриншотом, который доказывает правоту его слов. Ответ был очень коротким: простите, но это не баг.

Халил сказал им, что нет другого выхода, как написать в Timeline Марка Цукерберга:

За несколько минут инженер по безопасности Facebook прокомментировал изображение со скриншотом на странице Халила и попросил прислать ему все детали об уязвимости. Но еще через минуту аккаунт Халила заблокировали. Халил зарегистрировал еще один аккаунт, и послал с него отчет с описанием этих событий и информации об уязвимости.

Ему ответили письменно, что заблокировали аккаунт качестве меры предосторожности - потому что не понимали что происходит. Его отчеты об уязвимости они назвали такими, что им не хватает технических деталей. И что они не могут отвечать на отчеты, в которых недостаточно информации для воспроизведения проблемной ситуации. Кроме того, соцсеть не может заплатить Халилу за найденную уязвимость - потому что его действия нарушили условия пользования соцсетями. Но аккаунт Халила восстановили.

Инженер по безопасности Facebook Мэн Джонс заявил, что демонстрировать баги на аккаунтах пользователей без их ведома - недопустимо. Кроме того, соцсеть позволяет исследователям создавать тестовые аккаунты по адресу www.facebook.com/whitehat /accounts для ответственного исследования.

Читайте также:
Delimiter 468x90 ad place

Новини партнерів:

Библиотека дня

Все книги
Все книги

Подписывайтесь на свежие новости:

Газета "День"
читать
Газета "День" Subscribe

© 1997-2022, ТОВ «УКРАИНСКАЯ ПРЕСС-ГРУППА»

Материалы, опубликованные в газете «День», являются собственностью издателя, защищены международным и украинским законодательством и не могут быть воспроизведены в какой-либо форме без письменного разрешения издателя. При использовании наших публикаций ссылка на газету обязательна.

Все материалы, размещенные на этом сайте со ссылкой на агентство «Интерфакс-Украина», не подлежат дальнейшему воспроизведению и/или распространению в какой-либо форме, кроме как с письменного разрешения агентства «Интерфакс-Украина».

Редакция

Газета