Безработный палестинский хакер Халил Шритех (Khalil Shreateh) хотел заработать немного денег по программе вознаграждений за найденные уязвимости в Facebook. Он обнаружил баг, позволяющий публиковать сообщения на стене любого пользователя Facebook, даже если тот не является вашим другом, и независимо от настроек приватности.

Для демонстрации бага Халил опубликовал сообщение на стене Сары Гудин, однокурсницы Цукерберга, и отправил ссылку на это сообщение в отдел безопасности Facebook.

Естественно, группа разработчиков ответила отказом, потому что они не смогли воспроизвести баг. Более того, они даже не смогли открыть ссылку на сообщение, ведь стена Сары Гудин доступна только для ее друзей.

После обмена еще несколькими письмами Халил осознал безнадежность своих попыток получить вознаграждение — и пошел на крайние меры. Он опубликовал сообщение с описанием ситуации прямо на стене Марка Цукерберга.

Только так хакеру удалось привлечь внимание специалистов по безопасности Facebook. Один из них написал прямо в комментариях к скриншоту и попросил выслать подробности об эксплойте. Через пару минут аккаунт Халила дезактивировали.

После небольшой переписки сотрудники Facebook сказали, что дезактивация аккаунта произошла по ошибке, потому что действия хакера посчитали вредоносными. Вскоре аккаунт снова активировали, но отдел безопасности написал, что хакер не может претендовать на получение вознаграждения, потому что своими действиями нарушил условия использования сервиса. В следующий раз ему посоветовали более грамотно оформлять письма с описанием уязвимостей, в том числе прилагать пошаговую инструкцию для воспроизведения уязвимости.

Эксплойт для Facebook

Видеофайл в формате flv, 21 МБ



Оставить мнение