Офтоп
Султан Сулейманов

Хакер получил 12 тысяч долларов за то, что не стал удалять фото Цукерберга

Хакер из Индии обнаружил в Facebook баг, позволяющий злоумышленнику удалить любую фотографию из соцсети, никак не взаимодействуя с ее владельцем. Он продемонстрировал недокументированную возможность на фото Марка Цукерберга, после чего получил вознаграждение от Facebook.

21-летний инженер Арул Кумар (Arul Kumar) увлекается исследованием систем безопасности. Он обнаружил уязвимость на портале техподдержки Facebook, который позволяет пользователям отслеживать статус их жалоб. На этом портале пользователь может посмотреть, рассмотрели ли его жалобу сотрудники техподдержки. Там же он может сформировать и отправить хозяину фотографии, возможно нарушающей правила ресурса, специальную ссылку. Если последний кликнет по ссылке, снимок будет удален.

Как установил Арул Кумар, этой ссылке можно так подменить параметры, что она сможет удалять фотографии из любых альбомов любых пользователей. Для этого злоумышленнику достаточно переслать с одного своего аккаунта на другой измененную ссылку и подтвердить действие. От владельца фотографии никаких действий не требовалось. Он также не получил бы никаких уведомлений от Facebook.

Индийский хакер установил, что баг работает даже с подтвержденными аккаунтами звезд. Он записал видео, на котором продемонстрировал все шаги, кроме непосредственно удаления, на примере фотографии создателя Facebook Марка Цукерберга.


Арул Кумар рассказал, что администрация Facebook исправила обнаруженную им уязвимость и выплатила хакеру 12,5 тысячи долларов. Хакер отметил, что это уже второй случай за год, когда он зарабатывает на найденных в соцсети ошибках — размер прошлого вознаграждения составлял полторы тысячи долларов.

Случай Кумара отличается от истории, произошедшей с палестинским хакером в августе 2013 года. Халил Шриатех обнаружил возможность публикации записей на странице любого пользователя Facebook. Чтобы убедить техподдержку в существовании уязвимости, Шриатех разместил пост на странице Марка Цукерберга. После этого баг исправили, но администрация отказалась выплачивать палестинцу вознаграждение. Такое решение объяснялось тем, что Шриатех нарушил запрет на использование найденных уязвимостей на аккаунтах реальных людей. Позднее интернет-пользователи собрали для Шриатеха 10 тысяч долларов.