Специалист по безопасности опубликовал запись в профиле Цукерберга на Facebook

Исследователь уязвимостей Халил Шриатех обнаружил баг, позволяющий любому пользователю Facebook публиковать ссылки в чужих закрытых профилях. После того, как разработчики Facebook проигнорировали его отчёт, он решил привлечь внимание Цукерберга, опубликовав пост в его таймлайне, пишет The Verge.

Палестинский специалист по безопасности Халил Шриатех обнаружил уязвимость, позволяющую любому пользователю публиковать записи в чужих таймлайнах. Протестировав её на Саре Гудин, подруге Цукерберга и первом зарегистрированном пользователе Facebook, он сообщил о найденной ошибке через сервис Facebook Whitehat. По правилам сервиса, первый сообщивший об ошибке получает от компании награду минимум в 500 долларов, если соблюдает ряд условий.

В письме, отправленном с багрепортом в Facebook, Шриатех объяснил, что опубликованной на странице Гудин пост не виден, так как она показывает свои записи только друзьям, но в качестве подтверждения прикрепил скриншот записи. Разработчик Facebook, подписавшийся именем Emrakul, ответил на письмо коротко: «Простите, но это не баг».

Шокированный ответом, Халил Шриатех решил сообщить напрямую Цукербергу и опубликовал багрепорт на его стене.

Спустя несколько минут после публикации к Халилу обратился разработчик Facebook Ола Окелола с просьбой предоставить больше информации об уязвимости, а аккаунт Шриатеха временно заблокировали из соображений безопасности.

Позднее Халилу объяснили, что в своём первом отчёте он не предоставил достаточно технических деталей, а награждение за багрепорт он не сможет получить, так как нарушил правила использования Facebook. Полную историю багрепорта и переписки с разработчиками Facebook Шриатех опубликовал у себя в блоге.

У страниц пользователей Facebook есть два состояния приватности: публичная и непубличная. В первом случае любой человек из списка друзей может опубликовать пост в таймлайне — так, как это происходит во время дней рождения.

За 2013 год Facebook наградило 90 специалистов, сообщивших об ошибках через сервис Whitehat.

Пока гром не грянет,
Никита Лихачёв,
TJournal