- PVSM.RU - https://www.pvsm.ru -
Несколько дней назад интернет облетела история о безработном палестинском веб-разработчике Халиле Шритехе (Khalil Shreateh), которому Facebook отказался выплачивать вознаграждение за найденную уязвимость. Хакер обнаружил баг [1], позволяющий публиковать сообщения на стене любого пользователя Facebook, даже если тот не является вашим другом, и независимо от настроек приватности.
Халил сначала взломал страничку Сары Гудин, однокурсницы Цукерберга, разместил там видеоролик — и отправил ссылку в отдел безопасности Facebook.
Но они ответили, что одной ссылки недостаточно для воспроизведения бага.
Возмущённый Халил в ответ на это взломал страницу Цукерберга и опубликовал у него на стене описание ситуации.
Только так хакеру удалось привлечь внимание специалистов по безопасности Facebook. Один из них написал прямо в комментариях к скриншоту [2] и попросил выслать подробности об эксплойте.
Халил опубликовал видео с демонстрацией взлома — это именно то, чего не хватало в первом письме.
Facebook за последние пару лет выплатил уже более миллиона долларов [3] независимым хакерам за найденные баги на сайте. Конечно, просто смешно выглядит мнение что Цукерберг отказал в оплате арабу по каким-то личным мотивам.
Тем не менее, сообщество дружно встало на защиту Шритеха. Многие говорят, что отдел безопасности должен был более уважительно и вежливо попросить хакера прислать дополнительную информацию.
После взлома страницы Цукерберга сложно представить, что компания согласится выплатить вознаграждение — хорошо, если не заведут уголовное дело на бедного палестинца.
Халил Шритех
Хакерское сообщество решило поддержать коллегу своими силами. На сайте GoFundMe открылся сбор средств [4] в его адрес. На эту минуту собрано уже $7405 из необходимых $10000. Это примерно максимум того, на что мог рассчитывать Шритех в случае получения официального вознаграждения Facebook. Там минимальная награда составляет $500, максимальная сумма не ограничена, но за всю историю самым большим вознаграждением было $20 тыс. за уязвимость со взломом по SMS [5].
Автор: alizar
Источник [6]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/vzlom/41322
Ссылки в тексте:
[1] обнаружил баг: http://khalil-sh.blogspot.com/p/facebook_16.html
[2] написал прямо в комментариях к скриншоту: https://www.facebook.com/photo.php?fbid=10151865722018885&set=a.476649568884.293872.778218884&type=1&comment_id=11670033&offset=100&total_comments=110
[3] более миллиона долларов: https://www.facebook.com/notes/facebook-security/an-update-on-our-bug-bounty-program/10151508163265766
[4] сбор средств: http://www.gofundme.com/3znhjs
[5] взломом по SMS: http://blog.fin1te.net/post/53949849983/hijacking-a-facebook-account-with-sms
[6] Источник: http://habrahabr.ru/post/190696/
Нажмите здесь для печати.