Специалист по информационной безопасности Халил Шритех нашел уязвимость в популярной социальной сети Facebook, с помощью которой можно публиковать записи на стене абсолютно любого пользователя. Чтобы доказать правдивость данного факта, ему пришлось написать сообщение на странице генерального директора соцсети Марка Цукерберга.
С самого начала, когда хакер обнаружил данную уязвимость, он отправил администрации Facebook сообщение, в котором говорилось о том, что он может опубликовать ссылку на страницу Сары Гудин, подруги Цукерберга по колледжу, несмотря на ограничение списка тех, кто может писать на ее стене, а Шритех в этот список не входил. (Пользователь Facebook в настройках приватности может указать, кто именно имеет разрешение на публикацию на их стене — все пользователи соцсети, только его друзья или только он сам).
Но один из сотрудников Facebook по безопасности, который получил сообщение от хакера, также не входил в список друзей Гудин, из-за чего и не смог увидеть запись Шритеха на ее странице.
Сотрудник направил ответ Шритеху, в котором говорилось, что он не видит ничего кроме ошибки, когда переходит по ссылке.
После этого хакер отправил повторное сообщение с той же ссылкой, но объяснил, что просмотреть ее можно только тогда, когда тот, кто переходит по ссылке, находится в списке друзей Гудин, или пользуется своими полномочиями для просмотра частной записи. Опять же тот самый сотрудник команды безопасности Facebook ответил, что это не уязвимостью.
Уже после этого Шритех решил опубликовать сообщение на стене Цукерберга, которое выглядело следующим образом: «Извини, что нарушил конфиденциальность записей на твоей странице. У меня просто не было другого выхода после всех сообщений, которые я отправил в команду Facebook».
Сразу после нескольких минут представители Facebook связались с хакером.
Читайте также: Используя Facebook, можно будет переводить деньги
В большинстве случаев хакеры за найденную уязвимость получают как минимум 500 долларов, и вознаграждение увеличивается в зависимости от критичности найденной ошибки. Однако Шритех своего вознаграждения не получит, поскольку программа поощрения Whitehat указывает, что для осуществления проверки ошибок нужно пользоваться тестовыми аккаунтами, но вовсе не страницами реальных людей, тем более без их разрешения. Кроме этого в сообщении хакера не было деталей, как воссоздать уязвимость.