Независимый исследователь Сачин Тхакури (Sachin Thakuri) обнаружил в социальной сети Марка Цукерберга любопытный баг. Хотя проблема и не относится к разряду уязвимостей, она позволяет создать полную иллюзию публикации в таймлайне другого пользователя фальшивого события.

Марк Цукерберг уходит из Facebook. Не верите? Убедитесь сами, он сам это запостил.

То, что можно увидеть, перейдя по ссылке – простая иллюзия. На самом деле Цукерберг, конечно, никуда не уходит и ничего подобного не постил. Внимательный читатель заметит, что событие старое, датированное 2011 годом. Провернуть подобный трюк позволяет обнаруженный Тхакури мелкий баг, о котором хакер рассказал у себя в блоге.

Для создания фальшивой новости об увольнении Цукерберга, исследователь взял настоящий URL реального события из таймлайна руководителя Facebook:

https://www.facebook.com/zuck/timeline/story?ut=32&wstart=-2051193600&wend=2147483647&hash=971179541251&pagefilter=3&ustart=1&__mref=message_bubble

Затем удалил параметр ustart=1 из ссылки, получив следующее:

https://www.facebook.com/zuck/timeline/story?ut=32&wstart=-2051193600&wend=2147483647&hash=971179541251&pagefilter=3&&__mref=message_bubble

В итоге, перейдя по «исправленной» ссылке, пользователь увидит сообщение о том, что Цукерберг Left Job (уволился) вместо Started Working (начал работать) в Facebook.

Хотя баг действительно мелкий, им все-таки могут воспользоваться злоумышленники. К примеру, если хакеру зачем-либо понадобится убедить свою жертву в том, что кто-то уволился с работы – можно использовать в качестве доказательства такой простой подлог.

Тхакури уже сообщил о проблеме в поддержку Facebook, но баг пока не исправили.

Фото: downloadsource.fr



1 комментарий

  1. BOMBERuss

    20.11.2015 at 22:06

    Уже совсем скучно?

Оставить мнение