Хакер получил 12 тысяч долларов за то, что не стал удалять фото Цукерберга

Хакер из Индии обнаружил в Facebook баг, позволяющий злоумышленнику удалить любую фотографию из соцсети, никак не взаимодействуя с ее владельцем. Он продемонстрировал недокументированную возможность на фото Марка Цукерберга, после чего получил вознаграждение от Facebook.

21-летний инженер Арул Кумар (Arul Kumar) увлекается исследованием систем безопасности. Он обнаружил уязвимость на портале техподдержки Facebook, который позволяет пользователям отслеживать статус их жалоб. На этом портале пользователь может посмотреть, рассмотрели ли его жалобу сотрудники техподдержки. Там же он может сформировать и отправить хозяину фотографии, возможно нарушающей правила ресурса, специальную ссылку. Если последний кликнет по ссылке, снимок будет удален.

Как установил Арул Кумар, этой ссылке можно так подменить параметры, что она сможет удалять фотографии из любых альбомов любых пользователей. Для этого злоумышленнику достаточно переслать с одного своего аккаунта на другой измененную ссылку и подтвердить действие. От владельца фотографии никаких действий не требовалось. Он также не получил бы никаких уведомлений от Facebook.

Индийский хакер установил, что баг работает даже с подтвержденными аккаунтами звезд. Он записал видео, на котором продемонстрировал все шаги, кроме непосредственно удаления, на примере фотографии создателя Facebook Марка Цукерберга.


Арул Кумар рассказал, что администрация Facebook исправила обнаруженную им уязвимость и выплатила хакеру 12,5 тысячи долларов. Хакер отметил, что это уже второй случай за год, когда он зарабатывает на найденных в соцсети ошибках — размер прошлого вознаграждения составлял полторы тысячи долларов.

Случай Кумара отличается от истории, произошедшей с палестинским хакером в августе 2013 года. Халил Шриатех обнаружил возможность публикации записей на странице любого пользователя Facebook. Чтобы убедить техподдержку в существовании уязвимости, Шриатех разместил пост на странице Марка Цукерберга. После этого баг исправили, но администрация отказалась выплачивать палестинцу вознаграждение. Такое решение объяснялось тем, что Шриатех нарушил запрет на использование найденных уязвимостей на аккаунтах реальных людей. Позднее интернет-пользователи собрали для Шриатеха 10 тысяч долларов.

{ "author_name": "Султан Сулейманов", "author_type": "self", "tags": [], "comments": 4, "likes": 12, "favorites": 0, "is_advertisement": false, "subsite_label": "flood", "id": 47813, "is_wide": true, "is_ugc": true, "date": "Tue, 03 Sep 2013 14:24:40 +0400" }
Офтоп
дискуссии в сообществе доступны только владельцам клубного аккаунта
С клубным аккаунтом вы сможете
создавать записи и вести дискуссии в закрытых сообществах
наслаждаться нашим сайтом без рекламы
помочь проекту и почувствовать себя лучше
Купить за 75₽

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "ccydt", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } } ]
Не пропустите самое важное,
что происходит в интернете
Подписаться на push-уведомления