Султан Сулейманов
3 613

Хакер получил 12 тысяч долларов за то, что не стал удалять фото Цукерберга

Хакер из Индии обнаружил в Facebook баг, позволяющий злоумышленнику удалить любую фотографию из соцсети, никак не взаимодействуя с ее владельцем. Он продемонстрировал недокументированную возможность на фото Марка Цукерберга, после чего получил вознаграждение от Facebook.

21-летний инженер Арул Кумар (Arul Kumar) увлекается исследованием систем безопасности. Он обнаружил уязвимость на портале техподдержки Facebook, который позволяет пользователям отслеживать статус их жалоб. На этом портале пользователь может посмотреть, рассмотрели ли его жалобу сотрудники техподдержки. Там же он может сформировать и отправить хозяину фотографии, возможно нарушающей правила ресурса, специальную ссылку. Если последний кликнет по ссылке, снимок будет удален.

Как установил Арул Кумар, этой ссылке можно так подменить параметры, что она сможет удалять фотографии из любых альбомов любых пользователей. Для этого злоумышленнику достаточно переслать с одного своего аккаунта на другой измененную ссылку и подтвердить действие. От владельца фотографии никаких действий не требовалось. Он также не получил бы никаких уведомлений от Facebook.

Индийский хакер установил, что баг работает даже с подтвержденными аккаунтами звезд. Он записал видео, на котором продемонстрировал все шаги, кроме непосредственно удаления, на примере фотографии создателя Facebook Марка Цукерберга.


Арул Кумар рассказал, что администрация Facebook исправила обнаруженную им уязвимость и выплатила хакеру 12,5 тысячи долларов. Хакер отметил, что это уже второй случай за год, когда он зарабатывает на найденных в соцсети ошибках — размер прошлого вознаграждения составлял полторы тысячи долларов.

Случай Кумара отличается от истории, произошедшей с палестинским хакером в августе 2013 года. Халил Шриатех обнаружил возможность публикации записей на странице любого пользователя Facebook. Чтобы убедить техподдержку в существовании уязвимости, Шриатех разместил пост на странице Марка Цукерберга. После этого баг исправили, но администрация отказалась выплачивать палестинцу вознаграждение. Такое решение объяснялось тем, что Шриатех нарушил запрет на использование найденных уязвимостей на аккаунтах реальных людей. Позднее интернет-пользователи собрали для Шриатеха 10 тысяч долларов.

#Новость

Статьи по теме
Специалист по безопасности опубликовал запись в профиле Цукерберга на Facebook
Хакеры собрали $10 тысяч для отвергнутого администрацией Facebook палестинца
{ "author_name": "Султан Сулейманов", "author_type": "self", "tags": ["\u043d\u043e\u0432\u043e\u0441\u0442\u044c"], "comments": 4, "likes": 12, "favorites": 0, "is_advertisement": false, "section_name": "default", "id": "47813", "is_wide": "1" }
Популярные материалы
Показать еще
{ "is_needs_advanced_access": true }

Популярные комментарии

Дискуссии по теме
доступны только владельцам клубного аккаунта

Купить за 75₽
Авторизоваться

Преимущества
клубного аккаунта

  • отсутствие рекламы
  • возможность писать комментарии и статьи
  • общение с членами клуба
Подробнее

Преимущества
клубного аккаунта

  • отсутствие рекламы
  • возможность читать и писать комментарии
  • общение с членами клуба
  • возможность создавать записи

Сколько это стоит?

Членство в клубе стоит всего 75₽ в месяц. Или даже дешевле при оплате за год.

Что такое клуб?

Клуб ТЖ это сообщество единомышленников. Мы любим читать новости, любим писать статьи, любим общаться друг с другом.

Вступить в клуб

Комментарии Комм.

Популярные

По порядку

0

Прямой эфир

Вы не против подписаться на важные новости от TJ?

Нет, не против
[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } } ]