Программисты Facebook устранили уязвимость, позволяющую удалять любые фото. Прореху в коде обнаружил индийский хакер, который не воспользоваться своей находкой, а довел сведения до администрации социальной сети. За свою честность хакер получит вознаграждение.
Как сообщают американские СМИ, исследователь компьютерных уязвимостей из Индии Арул Кумар обнаружил критическую уязвимость к коде социальной сети Фейсбук. Благодаря ошибке в программе Support Dashboard любой пользователь мог удалить любую фотографию других пользователей, групп и сообществ. Уязвимостью можно было воспользоваться на любых браузерах компьютеров и мобильных устройств.
Через программу Support Dashboard посылаются запросы на удаление нарушающих пользовательские правила фотографий. Сначала они отправлялись модераторам сервиса, которые рассматривали заявку и при выявлении нарушения правил переправляли запрос пользователю с тем, чтобы он перешел по указанной ссылке и удалил фото.
Арул Кумар выяснил, что если перехватить идентификатор страницы пользователя и идентификатор фотографии, которая должна быть удалена, то изменив несколько цифр, можно было удалить не только изначально предложенную к удалению фотографию, но и любую другую в Фейсбуке.
За проявленную сознательность индийский хакер получит 12 тысяч 500 долларов премии, что в десять раз превышает среднюю сумму премиальных, выплачиваемых хакерам за обнаруженные ошибки. Суммой выплаты Фейсбук показывает, насколько критической была обнаруженная Кумаром уязвимость.
В прошлом месяце в Фейсбуке была обнаружена еще одна критическая уязвимость. Однако хакеру Халилу Шратеху из Палестины ничего не заплатили, обвинив в нарушении правил «добропорядочности». Все дело в том, что Шратех переусердствовал, и чтобы наглядно показать уязвимость в действии, оставил несанкционированное сообщение на странице создателя социальной сети.
Как уже можно догадаться, уязвимость, обнаруженная хакером, позволяла оставлять любые сообщения на стене пользователей Фейсбука, даже если такая возможность сервисом не предусматривалась. Через несколько минут после того, как палестинский хакер оставил сообщение на странице Марка Цукерберга, с ним вышли на связь. В итоге уязвимость была устранена, но премию Шратеху не выплатили, более того, даже заблокировали его страницу, обвинив во вмешательстве в личную жизнь (нужно было сообщить об ошибке, не демонстрируя ее в действии на чужой странице).
Автор: Арамис День