Палестынскі хакер узламаў акаўнт стваральніка «Фэйсбука»
8- 19.08.2013, 11:26
- 12,107
Такім чынам ён паведаміў пра ўразлівасць сацыяльнай сеткі.
Спецыяліст па інфабяспецы Халіл Шрытэх (Khalil Shreateh) выявіў уразлівасць у «Фэйсбуку», якая дазваляе публікаваць запісы на сцяне абсалютна любога карыстальніка, і каб пацвердзіць свае словы, пакінуў паведамленне на старонцы Марка Цукерберга, піша digit.ru.
Карыстальнікі сацыяльнай сеткі могуць у наладах прыватнасці пазначыць, хто можа публікаваць на іх сцяне - толькі ён сам, яго сябры ці ўсё карыстальнікі сацсеткі. У першапачатковым паведамленні, якое спецыяліст накіраваў адміністрацыі «Фэйсбука», ён паказаў, што можа апублікаваць спасылку на старонку сяброўкі Цукерберга па каледжу Сары Гудзін. Пры гэтым яна абмяжоўвала спіс тых, хто можа публікаваць на яе сцяне, сваімі сябрамі, а хакер не ўваходзіў у гэты спіс.
Аднак супрацоўнік каманды па бяспецы сацсеткі, да якога патрапіла паведамленне, таксама не ўваходзіў у спіс сяброў Гудзін і таму не змог убачыць запіс на яе старонцы. «Я не бачу нічога акрамя памылкі, калі праходжу па спасылцы», - такі адказ ён накіраваў Шрытэху. Хакер зноў адправіў паведамленне з той жа спасылкай, тлумачачы, што чалавек, які хоча яе прагляду, павінен альбо ўваходзіць у спіс сяброў Гудзін, альбо «выкарыстоўваць свае паўнамоцтвы для прагляду прыватнага запісу». Той жа прадстаўнік каманды «Фэйсбука» адказаў, што гэта не ўразлівасць.
Тады хакер вырашыў прадэманстраваць уразлівасць, размясціўшы ў хроніцы Марка Цукерберга наступнае паведамленне:
«Прабач, што парушыў прыватнасць запісаў на тваёй сцяне. У мяне не было іншага выбару пасля ўсіх паведамленняў, якія я адправіў камандзе «Фэйсбук».
На працягу некалькіх хвілін распрацоўшчыкі звязаліся са спецыялістам.
Як правіла, хакеры атрымліваюць ад сацыяльнай сеткі як мінімум 500 даляраў за выяўленне крытычных уразлівасцяў, і ўзнагарода ўзрастае ў залежнасці ад важнасці знойдзенай памылкі. Аднак Шрытэх узнагароджання не атрымае - ва ўмовах праграмы заахвочвання Whitehat сказана, што для праверкі ўразлівасці трэба выкарыстоўваць тэставыя акаўнты, а не рэальныя старонкі іншых карыстальнікаў без іх дазволу. Акрамя таго, яго паведамленне не ўтрымлівала падрабязнасцяў, як прайграць памылку.
