Хакер сообщил об уязвимости в Facebook, обойдя настройки приватности

image

Теги: Facebook, хакер, уязвимость

После того, как в соцсети проигнорировали его отчет о бреши, палестинец опубликовал данные о ней на странице Цукерберга.

Обычно, если кто-либо находит уязвимость в Facebook, то он обращается на специальную страницу системы Whitehat. Палестинскому хакеру пришлось поступить иначе и сообщить о существующей бреши на странице основателя соцсети – Марка Цукерберга. Примечательно, что он сделал это, эксплуатируя обнаруженную уязвимость.

Халил Шретех (Khalil Shreateh), палестинский разработчик и хакер, обнаружил способ обхода настроек приватности в Facebook, благодаря чему появляется возможность разместить на любой чужой странице сообщение, причем не обязательно иметь данного пользователя в списке «друзей».

Изначально он отправил e-mail с описанием уязвимости на адрес программы вознаграждения за обнаружение брешей, однако, как утверждает сам Шретех, представители соцсети сказали, что бреши не существует. «При переходе по ссылке я не вижу ничего, кроме ошибки», - написали в ответном письме разработчику.

Стоит отметить, что перед тем, как сообщить о бреши, Шретех проверил ее, опубликовав запись на странице бывшей одноклассницы Цукерберга Сары Гудин (Sarah Goodin). Ссылку на эту запись он вложил в электронное письмо в качестве доказательства, однако ИБ-эксперт соцсети Emrakul, получивший его, не смог прочесть запись, поскольку не являлся «другом» Гудин.

В письме палестинец также сказал, что он может поступить аналогично со страницей Цукерберга. Затем он отправил еще одно письмо, вновь с описанием уязвимости. Поскольку ему ответили, заявив, что бреши не существует, хакер решил использовать страницу основателя Facebook, чтобы сообщить о бреши.

Эксплоит привлек внимание еще одного ИБ-эксперта соцсети Олы Окелолы (Ola Okelola), который попросил Шретеха предоставить более подробную информацию. «К сожалению, Ваш отчет, отправленный на нашу Whitehat систему, не содержал необходимую техническую информацию для того, что бы мы предпринимали какие-либо меры. Мы не можем реагировать на отчеты, которые не содержат необходимые данные», - сообщили хакеру.

Примечательно, что страницу разработчика «временно заблокировали», назвав это мерой предостережения. Кроме того, Шретеха проинформировали, что вознаграждения за уязвимость он не получит, поскольку метод, которым о ней сообщалось, нарушал условия предоставления услуг.

По данным еще одного эксперта по информационной безопасности Facebook Мэтта Джоунса (Matt Jones), уязвимость уже была исправлена, однако компания решила не комментировать данную ситуацию.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus