Хакер нашел серьезную уязвимость в FaceBook и написал о ней на стене Марка Цукерберга


Дорогой Марк Цукерберг, прежде всего, простите за нарушение вашей приватности и за это сообщение на вашей стене, но у меня не было другого выбора после всех тех сообщений, которые я отправлял в службу поддержки FaceBook.

Официально не трудоустроенный гражданин Палестины, Халил Шритех, занимается компьютерной безопасностью, поиском системных ошибок, багов и защитой информации.

Недавно он обнаружил критическую уязвимость в одной из самых популярных социальных сетей мира, позволяющую публиковать сообщения на стене любого человека, невзирая на его настройки приватности и прочие ограничения.

Сообщение на стене Сары Гудман

В FaceBook действует специальная, широко разрекламированная в специализированных кругах, программа поощрения таких баг-репортов. Минимальное вознаграждение за найденную уязвимость составляет 500$, а максимальное отсутствует вовсе. Предполагается, что за каждый баг выплачивают сумму, эквивалентную его серьезности. Как следует из условий на вышеприведенной странице, компьютерная помощь такого рода должна оплачиваться компанией в обязательном порядке. Но на деле всё оказалось не совсем так.

За обнражуение багов платят от 5000 долларов

Как добропорядочный пользователь, Халил написал в службу поддержки FaceBook, подробно описав уязвимость. Для наглядности он даже оставил сообщение на стене Сары Гудин, однокурсницы Цукерберга, «другом» которой, он, естественно не являлся.

Письмо в службу поддержки Фэйсбука

Но, то ли на том конце кабеля его отчет прочитал уставший, голодный индийский раб некомпетентный человек, то ли по какой-то другой причине, уязвимость не то что не устранили, её даже не сочли таковой. Дальнейшая переписка со службой безопасности компании плодов так же принесла — Халила просто не воспринимали всерьез. После первого отказа никто не пытался больше вникнуть в суть проблемы, просто дублируя решение коллег.

Тогда, не понимающий такого отношения, палестинец решил пойти на крайние меры — он просто оставил сообщение с объяснением ситуации на стене самого Марка Цукерберга, основателя социальной сети.

хакер написал сообщение на стене Цукерберга

К чести Халила, следует сказать, что его изложение — настоящий образец коректности и чуткости.

Дорогой Марк Цукерберг, прежде всего, простите за нарушение вашей приватности и за это сообщение на вашей стене, но у меня не было другого выбора после всех тех сообщений, которые я отправлял в службу поддержки FaceBook.

Меня зовут Халил, я из Палестины.

Несколько дней назад я обнаружи серьезную уязвимость в FaceBook, которая позволяет отправлять пользователям сообщения не смотря на то, что они не входят в круг ваших друзей.

Я писал в службу поддержки дважды, первый раз мне ответили, что отправленная мною ссылка не открывается. Во второй раз, — что это не баг». Оба сообщения я отправлял через https://www.facebook.com/whitehat, и как вы видите, я не нахожусь в вашем списке друзей, но я до сих пор могу писать на вашей стене.

Вот последнее письмо, которое я отправлял, включающее ответ службы поддержки. http://pastebin.com/zzi2WYK6

Я ценю ваше время на чтение этого сообщения и на то, чтобы кто-то из вашей команды связался со мной.

С уважением, Халил.

По оценкам профессиональных специалистов по безопасности, такой эксплойт можно легко продать «на сторону» за пятизначную суму. К сожалению, в многомиллиардной компании о порядочности знают меньше, чем в Палестине.

Хакеру не заплатили

Первым делом одумавшиеся сотрудники отдела безопасности компании узнали подробности уязвимости, затем заблокировали аккаунт Халила заблокировали. Несколько позже, правда, его разблокировали, но не о какой выплате, как объяснили, речи быть не может. Хакеру посоветовали в будущем составлять отчеты четче.

Сообществу такое отношение компании не понравилось, многие считают, что намного правильнее, и в итоге, дешевле для компании, было бы заплатить человеку, реально обнаружившему уязвимость.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *