Індійський хакер отримав 12,5 тисяч доларів від адміністрації Facebook

Спеціаліст з інформаційної безпеки Арул Кумар виявив помилку, яка давала змогу видаляти будь-яку фотографію в соціальній мережі Facebook, і отримав за це 12 500 доларів від адміністрації соцмережі, пише TechCrunch.

Індійський хакер Кумар описав помилку в своєму блозі, де вказав, що вона дає змогу будь-якій людині видалити абсолютно будь-яку фотографію з Facebook, включаючи знімки на чужих акаунтах і публічних сторінках.

Небезпека вразливості, зазначає TechCrunch, полягала також у простоті її відтворення і можливості видаляти багато зображень одночасно.

Уразливість криється в розділі Facebook, який дозволяє відстежити статус скарг до адміністрації (наприклад, на профілі спамерів або порнографічні фотографії). Якщо користувач скаржився на фотографію, але Facebook вирішувала не видаляти знімок, він отримував посилання, за допомогою якого міг безпосередньо попросити іншого користувача (не обов'язково власника) прибрати фото з ??сайту. Зміна декількох цифр в URL-адресі посилання давала змогу видалити будь-який знімок, каже хакер.

Арул Кумар продемонстрував виявлену помилку на прикладі акаунта глави Facebook Марка Цукерберга. Однак схожі дії раніше завадили іншому хакеру отримати винагороду за уразливість, яка дозволяла публікувати записи на стінах інших користувачів.

Водночас, в цьому разі експерт не зламував акаунт Цукерберга, а лише показав весь процес на відео, не натискаючи останньої кнопки для видалення фото. За правилами Facebook, для перевірки вразливості потрібно використовувати тестові акаунти, а не реальні сторінки інших користувачів без їх дозволу.

Видання Digit.ru зазначає, що зазвичай хакери отримують від Facebook щонайменше 500 доларів за виявлення критичних вразливостей в соцмережі, і винагорода зростає залежно від важливості знайденої помилки. Середня сума виплат становить близько 1,5 тисячі доларів. Аналогічні програми з винагороди сторонніх експертів за пошук вразливостей є у Google, Яндекс та інших великих компаній.