Фахівець з безпеки хакнув екаунт Марка Цукерберга щоб довести, що знайшов вразливість у системі

Микола Костинян · 19 Серпня 2013

Фахівець з безпеки хакнув екаунт Марка Цукерберга щоб довести, що знайшов вразливість у системі

Фахівець з безпеки із Палестини Khalil Shreateh виявив уразливість у Facebook, яка дозволяє будь-кому написати до будь-чийого Timeline – навіть користувачам, із якими ви не друзі.

Халіл залишив звіт про вразливість на сторінці програми винагород, де, нагадаємо, мінімальна винагорода за знайдену вразливість складає $500, а максимального розміру немає. Халіл залишив у звіті про вразливість лінк на Timeline, де він залишив допис за допомогою знайденої вразливості.

Працівник команди безпеки Facebook за цим лінком нічого не побачив, бо він не є другом того користувача соцмережі. Він відповів, що бачить лише сповіщення про помилку коли клікає на лінка. Халіл відписав про це, і попросив зробити тестовий екаунт, на якому він продемонстрував би цю вразливість. Також Халіл додав, що може запостити щось і на стіну Марка (Цукерберга – ред.), але не буде цього робити, тому що поважає приватність. Команда Facebook проігнорувала цю відповідь.

Тоді Халіл надіслав ще одного звіта – де додав скріншот, який доводить правоту його слів. Відповідь була дуже короткою: вибачте, але це не баг.

Халіл відповів їм, що не має іншого виходу як написати до Timeline Марка Цукерберга:

Що він і зробив:

За кілька хвилин інженер з безпеки Facebook відкоментував зображення зі скріншотом на сторінці Халіла і попросив надіслати йому усі деталі про вразливість. Але ще за хвилину екаунт Халіла заблокували. Халіл зареєстрував ще один екаунт, і надіслав з нього звіт з описом цих подій та інформацією про вразливість.

Йому відписали, що заблокували екаунт як запобіжний засіб – тому що не розуміли що відбувається. Його звіти про уразливість вони назвали такими, що їм бракує технічних деталей. І що вони не можуть відповідати на звіти, у яких недостатньо інформації для відтворення проблемної ситуації. Крім того, соцмережа не може заплатити Халілові за знайдену вразливість – тому що його дії порушили умови користування соцмережею. Але екаунт Халілові відновили.

Ось відео, на якому Халіл демонструє вразливість:

Інженер з безпеки Facebook Мен Джонс заявив, що демонструвати баги на екаунтах користувачів без їхнього відома – неприпустимо. Крім того, соцмережа дозволяє дослідникам створювати тестові екаунти за адресою www.facebook.com/whitehat/accounts для відповідального дослідження.

Попри те, що винагороди від Facebook Халіл не отримає, пропозицій йому наразі не бракує: