Технический писатель, присутствовавший на конференции AusCERT в Квисленде,
говорит, что он был арестован и затем отпущен квислендской полицией из-за
истории, написанной на конференции.
Бен Грубб, журналист, написал короткое сообщение в Twitter после его ареста:
"Я был арестован квислендской полицией из-за истории, которую я написал сегодня.
Они также изъяли мой iPad". Позже другие присутствующие на конференции сообщили,
что Грубба освободили, и он вернулся на конференцию.
Его допрос относится, по всей видимости, к истории, в которой он детально
описал уязвимость Facebook, найденную независимым исследователем безопасности
Кристианом Хайнрихом. Хайнрих получил доступ к приватным фотографиям жены
директора HackLabs Криса Гэтфорда.
Грубб, написавший статью для Sydney Morning Herald, сообщил, что в
презентации Хайнриха заявлено, что его атака была совершена не непосредственно
через Facebook, а через сеть доставки контента (CDN), которую Facebook
использует для улучшения функционирования. Уязвимость возникает из-за
возможности предугадать URL, что часто неправильно воспринимаемой как "взлом". В
случае Хайнриха сложность состояла в угадывании URL, который CDN определяет для
защищенных фотографий.
В данной ситуации он скомбинировал ID друга на Facebook с подобранной
строкой. Для осуществления брутфорса, по словам Хайнриха, ему пришлось перебрать
200 000 комбинаций и потратить около 7 дней.
Загадка заключается в том, почему Грубба выделили среди участников
конференции, ведь они также владеют данной информацией, как и все остальные,
наблюдавшие презентацию Хайнриха.
Сам Хайнрих покинул конференцию во вторник днем до допроса Грубба.
Квислендская полиция сообщила, что Грубб не был арестован, но допрошен. Ее
информационный отдел также заявил, что iPad будет возвращен как можно скорее.
