Хакер из Палестины Халил Шриатех заявил об обнаружении уязвимости в крупнейшей соцсети Facebook. Обнаруженная молодым человеком брешь позволяет без ведома пользователей публиковать сообщения на их личных страницах.
Палестинец Халил Шриатех опубликовал сообщение на странице основателя и генерального директора Facebook Марка Цукерберга. Хакер рассказал, что сообщил об уязвимости в техническую поддержку соцсети, но там информацию не восприняли всерьез, отмечает РИА Новости.
Пользователь Facebook может в настройках указать, кто имеет право публиковать на его стене – только он сам, его друзья или все пользователи соцсети. В изначальном сообщении, которое специалист направил в Facebook, он показал, что может опубликовать ссылку на странице подруги Цукерберга по колледжу Сары Гудин. При этом она ограничивала список публикующих на ее стене друзьями, а Шритех не входил в их список.
Сотрудник команды по безопасности Facebook, к которому попало сообщение, также не входил в список друзей Гудин и потому не смог увидеть запись. "Я не вижу ничего кроме ошибки, когда прохожу по ссылке", – такой ответ он направил Шриатеху. Хакер вновь отправил сообщение с той же ссылкой, объясняя, что для проверки человек должен входить в список друзей Гудин либо "использовать полномочия для просмотра приватной записи". Представитель команды Facebook ответил, что это не уязвимость. Тогда хакер решил продемонстрировать ошибку, разместив следующее сообщение в хронике Марка Цукерберга: "Извини, что нарушил приватность записей на твоей стене. У меня не было другого выбора после всех сообщений, которые я отправил команде Facebook".
После появления несанкционированного сообщения на таймлайне Цукерберга специалисты Facebook по безопасности связались с Шриатехом в течение нескольких минут. Аккаунт палестинца в соцсети был временно заблокирован, сообщает "Интерфакс".
Детали эксплойта, позволявшего злоумышленникам "спамить" таймлайны обычных пользователей, не раскрываются. В Facebook заявили, что ликвидировали уязвимость. Там также добавили, что Шриатех поступил некорректно, без разрешения опубликовав сообщения о ней на страницах нескольких пользователей.
Как правило, хакеры получают от Facebook как минимум 500 долларов за выявление уязвимостей в соцсети. Однако Шритех вознаграждения не получит – в условиях программы поощрения Whitehat сказано, что для проверки уязвимости нужно использовать тестовые аккаунты, а не реальные страницы других пользователей без их разрешения. Кроме того, его сообщение не содержало подробностей, как воспроизвести ошибку.
