Хороший пример того, как должна работать программа поощрений на Фейсбуке (в отличие от той неразберихи, которая была несколько недель назад): исследователь безопасности обнаружил ошибку, которая позволяет кому угодно удалить практически любую фотографию из Фейсбука — будь то ваши личные фото, мои или Цукерберга. За это открытие он получил весьма щедрое денежное вознаграждение.
По условиям программы поощрений, те кто находит ошибки и публикует их согласно правил, получают вознаграждение. Минимальная выплата за любую ошибку составляет $500. Однако Фейсбук может заплатить и больше, в зависимости критичности найденной уязвимости. Большинство выплат, как правило, составляют $1500. В своём блоге, исследователь безопасности Арул Кумар пишет, что получил $12.500 премиальных — приблизительно 25 базовых выплат.
Вероятнее всего причина такой щедрости — очень-очень простая воспроизводимость найденной уязвимости. Изменение нескольких параметров в URL — это тривиальная задача, которая позволяет создать инструмент, с помощью которого злоумышленник смог бы массово удалять фотографии других пользователей.
По словам Арула, корнем уязвимости является страница блокирования, которая позволяет пользователю видеть статус отправленных на рассмотрение запросов (например, липовые профили или фотографии, спам и т.д.).
Если пользователь пожаловался на фото и сотрудники сервиса согласились с нарушением, то пользователь получает ссылку, перейдя по которой, он сможет удалить фотографию. Судя по всему, именно эта ссылка и была причиной уязвимости.
Арул уверяет, что перехватив идентификатор фотографии и идентификатор страницы пользователя и поменяв в них несколько цифр, он может удалять снимки любого пользователя. При чём совершенно неважно кому принадлежат удаляемые изоюражения, и отправлялась ли на них когда-либо жалоба. Таким образом, можно отправить запрос на удаление фотографий какой-нибудь знаменитости на один из своих аккаунтов. При этом сама знаменитость ничего не заметит вплоть до того, когда фотографии будут удалены.
Арул опубликовал видео, в котором демонстрирует, как работает уязвимость:
Как ни странно, Арул демонстрирует свою уязвимость на профиле Марка Цукерберга — именно из-за этого несколько недель назад специалист по безопасности Халил Шратех лишился своего вознаграждения (так как Фейсбук запрещает тестировать уязвимости на реальных аккаунтах). Однако Арул по факту не тронул профиль Марка, в то время как Халил разместил сообщение об уязвимости прямо на стене Цукерберга. Арул только лишь использовал фотографию Марка, для того чтобы продемонстрировать ошибку, но на кнопку удаления не нажимал.
На данный момент обе уязвимости в безопасности Фейсбука уже исправлены.
Автор: uaoleg
