Независимый исследователь Сачин Тхакури (Sachin Thakuri) обнаружил в социальной сети Марка Цукерберга любопытный баг. Хотя проблема и не относится к разряду уязвимостей, она позволяет создать полную иллюзию публикации в таймлайне другого пользователя фальшивого события.
Марк Цукерберг уходит из Facebook. Не верите? Убедитесь сами, он сам это запостил.
То, что можно увидеть, перейдя по ссылке – простая иллюзия. На самом деле Цукерберг, конечно, никуда не уходит и ничего подобного не постил. Внимательный читатель заметит, что событие старое, датированное 2011 годом. Провернуть подобный трюк позволяет обнаруженный Тхакури мелкий баг, о котором хакер рассказал у себя в блоге.
Для создания фальшивой новости об увольнении Цукерберга, исследователь взял настоящий URL реального события из таймлайна руководителя Facebook:
https://www.facebook.com/zuck/timeline/story?ut=32&wstart=-2051193600&wend=2147483647&hash=971179541251&pagefilter=3&ustart=1&__mref=message_bubble
Затем удалил параметр ustart=1 из ссылки, получив следующее:
https://www.facebook.com/zuck/timeline/story?ut=32&wstart=-2051193600&wend=2147483647&hash=971179541251&pagefilter=3&&__mref=message_bubble
В итоге, перейдя по «исправленной» ссылке, пользователь увидит сообщение о том, что Цукерберг Left Job (уволился) вместо Started Working (начал работать) в Facebook.
Хотя баг действительно мелкий, им все-таки могут воспользоваться злоумышленники. К примеру, если хакеру зачем-либо понадобится убедить свою жертву в том, что кто-то уволился с работы – можно использовать в качестве доказательства такой простой подлог.
Тхакури уже сообщил о проблеме в поддержку Facebook, но баг пока не исправили.
Фото: downloadsource.fr
