[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "create", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-101273134", "adfox_url": "//ads.adfox.ru/228129/getCode?p1=byaeu&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid11=&puid12=&puid13=&puid14=&puid21=&puid22=&puid31=&fmt=1&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } } ]
{ "author_name": "Никита Лихачёв", "author_type": "self", "tags": ["\u043d\u043e\u0432\u043e\u0441\u0442\u044c","facebook","instagram","\u0445\u0430\u043a\u0435\u0440\u044b","\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c","\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438","\u0432\u0437\u043b\u043e\u043c\u044b","\u0432\u043e\u0437\u043d\u0430\u0433\u0440\u0430\u0436\u0434\u0435\u043d\u0438\u044f","\u0430\u043b\u0435\u043a\u0441_\u0441\u0442\u0430\u043c\u043e\u0441","\u0443\u044d\u0441\u043b\u0438_\u0432\u0430\u0439\u043d\u0431\u0435\u0440\u0433","synack"], "comments": 50, "likes": 0, "favorites": 10, "is_advertisement": false, "section_name": "default", "id": "56941", "is_wide": "1" }
Никита Лихачёв
15 548

Instagram попыталась запугать хакера, получившего доступ к личным данным пользователей

Хакер Уэсли Вайнберг (Wesley Weinberg) обнаружил критическую уязвимость в Instagram, позволявшую ему получить доступ к приватной информации как самой компании, так и пользователей её сервиса — в том числе фотографиям в закрытых профилях. Однако в процессе общения с отделом безопасности Facebook между компанией и хакером возникло недопонимание, в результате которого представители соцсети пытались запугать Вайнберга через его работодателя.

Интерфейс администраторской панели Sensu

Вайнберг опубликовал свой отчёт об исследовании безопасности Инстаграма 16 декабря. В нём говорилось, что ещё 21 октября он обнаружил критическую уязвимость в интерфейсе администраторской панели sensu.instagram.com, позволявшую производить удалённое исполнение кода (RCE).

В тот же день хакер уведомил о находке Facebook (владеет Instagram), спустя день он получил подтвержение от компании, что уязвимость будет исследована специалистами. Однако Вайнберг на этом не остановился, и через два дня обнаружил в администраторской панели ключ к «облачному» хостингу AWS.

Ключ безопасности давал хакеру доступ к хранилищам различных приватных данных — технической документации, другим кодам доступа и даже контенту пользователей, включая изображения, переписку и тому подобные данные. Помимо этого, Вайнберг обнаружил в базе данных sensu.instagram.com слишком слабые пароли к администраторским аккаунтам, о чём также уведомил Facebook.

Ответы по багрепортам хакер начал получать лишь с середины ноября. Сначала Facebook пообещала выплатить ему 2,5 тысячи долларов в качестве вознаграждения за первую находку, однако 1 декабря компания отклонила его отчёт о ненадёжных паролях администраторов, посчитав это нарушением приватности.

Тогда Вайнберг сообщил компании об уязвимости ключей AWS, дававших ему доступ к массиву приватных данных на «облачном» хостинге: он не скачивал оттуда фотографии или переписку пользователей, однако проверил работоспособность уязвимости, загрузив к себе некоторую техническую и корпоративную документацию. В тот же день глава отдела безопасности Facebook Алекс Стамос (Alex Stamos) позвонил его начальнику в исследовательской компании Synack с угрозами.

Стамос заявил, что найденная Вайнбергом уязвимость была примитивной, однако дала ему доступ к секретным данным. Глава отдела безопасности соцсети потребовал от гендиректора Synack заставить Вайнберга удалить скачанные данные и проконтролировать, чтобы информация об этом не была предана огласке. Представитель Facebook также намекнул, что в случае негативного развития ситуации он может обратиться за помощью к своим юристам.

По мнению Вайнберга, такое поведение Facebook полностью противоречило тому, что было описано в её правилах программы вознаграждения за найденные уязвимости. Несмотря на заголовок публикации «Баг Instagram на миллион долларов», хакер утверждал, что не рассчитывал на крупное вознаграждение и вообще не был мотивирован финансово.

Несмотря на все попытки следовать правилам Facebook, я оказался под угрозой административного и уголовного разбирательств, и всё это было повёрнуто против моего работодателя — на которого я работаю по контракту, а не как штатный сотрудник. Если бы моя компания была не такой понимающей в исследованиях безопасности, я бы мог легко потерять работу из-за этого. Я воспринимаю угрозу уголовного наказания серьёзно, и я уже получил подтверждение у своего юриста, что мои действия были законными и в рамках программы Facebook Whitehat.

Уэсли Вайнберг, хакер, специалист по безопасности Synack

18 декабря, спустя сутки после публикации расследования хакера, Стамос рассказал о своей точке зрения у себя на странице в Фейсбуке. По мнению представителя соцсети, Вайнберг поступил неэтично, так как после обнаружения первой уязвимости продолжил «рыскать» в поисках других.

Стамос также заявил, что не был против публикации своих исследований хакером и не запрещал этого в разговоре с гендиректором Synack. Он посчитал, что Вайнберг действовал от лица своей компании, так как тот якобы использовал свой корпоративный адрес в переписке, а также требовал более высокой награды, чем 2,5 тысячи долларов — сам хакер это опровергал. К моменту обеих публикаций все уязвимости были закрыты, а ключи безопасности изменили на новые.

Я твёрдо уверен, что исследователи безопасности должны иметь возможность свободно изучать уязвимости и сообщать о них для блага всего человечества, и я считаю, что следует финансово поощрять их тяжёлую работу. Я также знаю, что то хрупкое спокойствие, в котором мы сегодня живём, основано на том, что программа вознаграждений за обнаружение уязвимостей не может быть использована хакерами как прикрытие для злонамеренных действий.

Потворство превышению исследователями допустимых границ создаст прецедент, который может быть использован для нарушения приватности наших пользователей, и такое поведение добросовестных исследователей безопасности ставит будущее программ вознаграждения за уязвимости под угрозу.

Алекс Стамос, глава отдела безопасности Facebook

В комментариях другие специалисты по безопасности раскритиковали реакцию Facebook на обнаруженные Вайнбергом уязвимости. Некоторые подчеркнули, что официально политика компании не запрещала хакеру исследовать её системы после обнаружения RCE, и проиллюстрировали важность его действий гипотетическим обследованием систем безопасности Белого дома.

В понимании Facebook, хакер не просто смог открыть входную дверь, а дошёл до Овального кабинета и «станцевал там на столе», отметили участники обсуждения. Однако есть разница между тем, чтобы просто отпереть замок, и воспользоваться этим для проникновения внутрь, получения доступа к секретным правительственным данным и, в итоге, танца на столе в кабинете президента.

#Новость #Facebook #Instagram #хакеры #безопасность #уязвимости #взломы #вознаграждения #Алекс_Стамос #Уэсли_Вайнберг #Synack

Статьи по теме
Хакер рассказал о взломе производителя ПО для подводной охраны резиденций президента
Хакер получил доступ к сайтам «АвтоВАЗа» через уязвимость в чужой системе совместной работы
Взломавшие главу ЦРУ хакеры-подростки добрались до замдиректора ФБР
Популярные материалы
Показать еще
{ "is_needs_advanced_access": true }

Лучшие комментарии

Дискуссии по теме
доступны только владельцам клубного аккаунта

Купить за 75₽
Авторизоваться

Преимущества
клубного аккаунта

  • отсутствие рекламы
  • возможность писать комментарии и статьи
  • общение с членами клуба
Подробнее

Преимущества
клубного аккаунта

  • отсутствие рекламы
  • возможность читать и писать комментарии
  • общение с членами клуба
  • возможность создавать записи

Сколько это стоит?

Членство в клубе стоит всего 75₽ в месяц. Или даже дешевле при оплате за год.

Что такое клуб?

Клуб ТЖ это сообщество единомышленников. Мы любим читать новости, любим писать статьи, любим общаться друг с другом.

Вступить в клуб

Комментарии Комм.

Популярные

По порядку

0

Прямой эфир

Вы не против подписаться на важные новости от TJ?

Нет, не против