Facebook угрожает исследователю за обнаружение уязвимости в Instagram

image

Теги: Facebook, Instagram, уязвимость

Руководство соцсети угрожает хакеру судебным разбирательством.

Исследователь Уэсли Вайнберг (Wesley Weinberg) обнаружил критическую уязвимость в Instagram, позволявшую получить доступ к персональным данным пользователей сервиса и сотрудников компании. Тем не менее, в процессе общения со службой безопасности Facebook между администрацией соцсети и хакером возник конфликт. По словам Вайнберга, руководство Facebook пыталось запугать специалиста.

В опубликованном экспертом отчете указывается информация о критической уязвимости в администраторской панели sensu.instagram.com, позволявшей удаленному пользователю выполнить произвольный код. Хакер обнаружил ошибку 21 октября нынешнего года и в тот же день уведомил администрацию Facebook. На следующий день специалисты службы безопасности сообщили о начале расследования инцидента.

Спустя два дня Вайнберг обнаружил в административной панели ключ доступа к облачному хостингу AWS. Хакер получил доступ к конфиденциальной информации, включая техническую документацию и пользовательский контент. Вайнберг также обнаружил, что остальные администраторы используют слабые пароли. Исследователь также уведомил Facebook об обнаруженных уязвимостях.

Вначале администрация соцсети обещала выплатить эксперту $2,5 тысячи в качестве вознаграждения за обнаруженную в октябре уязвимость. Тем не менее, после второго сообщения о слабых административных паролях компания расценила деятельность Вайнберга как нарушение приватности.

Связавшись с Facebook в третий раз, Вайнберг сообщил об уязвимых AWS-ключах, позволивших получить доступ к массиву персональных данных на облачном хостинге. В качестве доказательства хакер передал сотрудникам службы безопасности несколько файлов с технической документацией, загруженных с сервера. В тот же день глава отдела безопасности Facebook Алекс Стамос (Alex Stamos) связался с работодателем Вайнберга (специалист работает на ИБ-компанию Synack).

По словам Вайнберга, Стамос угрожал судебным разбирательством, если эксперт не удалит все загруженные данные или опубликует информацию в открытом доступе. По мнению специалиста, Facebook нарушила собственные принципы и условия программы вознаграждения за обнаруженные уязвимости.

Как позже заявил глава отдела безопасности Facebook, Вайнберг перешел допустимые границы. Потворство подобному поведению позволит исследователям без последствий нарушать конфиденциальность пользователей и ставит под угрозу существование программ по поиску уязвимостей, считают в компании.

Instagram — бесплатное приложение для обмена фотографиями и видеозаписями с элементами социальной сети, позволяющее снимать фотографии и видео и распространять контент через собственный сервис и ряд других социальных сетей. Сервис был приобретен компанией Facebook в 2012 году.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.