19 августа 2013, 10:54

Хакер показал уязвимость в Facebook, опубликовав сообщение на странице Марка Цукерберга

Палестинский исследователь информационной безопасности Халил Шритех (Khalil Shreateh) обнаружил ошибку, которая позволяла любому пользователю разместить сообщение на чужой странице в Facebook. Подробности истории хакер описал в своем блоге.

Шритех сообщил о проблеме в Facebook с помощью специальной страницы, предварительно протестировав уязвимость на Саре Гудин.

Ashampoo_Snap_2013.08.12_02h52m42s_001_.jpg

Инженер Facebook Эмракул (Emrakul) ответил исследователю, что не видит ничего, за исключением обычной ошибки. Шритех объяснил ему, что это происходит из-за того, что инженер не находится в списке друзей жертвы. Службу безопасности соцсети, однако, это не убедило, и хакер получил в ответ сообщение: «Сожалею, но это не ошибка».

Разочарованный таким результатом (возможно, Шритех рассчитывал на вознаграждение, которое полагается исследователям, нашедшим уязвимости в Facebook, и может достигать тысяч долларов), хакер решил не сдаваться и самостоятельно поведал о проблеме уже самому Марку Цукербергу, оставив на его странице соответствующее сообщение (сейчас удалено).

После этого аккаунт Шритеха был деактивирован, но после запроса в службу поддержки активирован вновь (что несколько странно, учитывая, что вместо реального фото в профиле красуется Эдвард Сноуден). В конечном итоге ошибка безопасности была устранена, однако инженеры Facebook сообщили, что демонстрация уязвимостей на аккаунтах реальных пользователей нарушает правила соцсети, поэтому вознаграждения палестинский исследователь не получит. Зато он уже получил массу предложений по работе.

Видео-демонстрация работы эксплойта:

Cсылка по теме: Блог Халила Шритеха

Если вы хотите подсказать новость в редакцию, воспользуйтесь специальной формой или отправьте на почту редактору chernikova@cossa.ru. Вы можете оставлять новости анонимно. Пресс-релизы сюда отправлять не нужно.