Több, mint 12 ezer dollárt fizetett a Facebook egy biztonsági rés megtalálójának

Több, mint 12 ezer dollárt fizetett a Facebook egy biztonsági rés megtalálójának
Egy biztonsági kutató nemrég felfedezett egy „bugot” a Facebookon, amely bárkinek lehetővé teszi, hogy töröljön egy fotót a közösségi oldalon – a sajátját, a tiédet vagy akár Zuckerbergét. És nem mellesleg egy komolyabb összeget is kapott a felfedezéséért.

A Facebook releváns programja szerint az, aki biztonsági rést talál a rendszerben és ez ügyben követi a cég szabályzatát és jelenti azt, fizetséget kap – írja a TechCrunch. A minimum összeg ilyen esetben bármely bug kapcsán 550 dollár, ami több is lehet attól függően, hogy milyen súlyos hibáról van szó. A leggyakrabban 1500 dollár körüli összegeket kapnak a szemfülesek. Arul Kumar maga nyilatkozott az esetről szóló beszámolójában arról, hogy 12,500 dollárt fizettek neki – ami nagyjából a 25-szöröse az alapösszegnek.

screen-shot-2013-09-02-at-11-59-39-am

Miért ilyen sokat? Valószínűleg azért, mert ezt a bugot nagyon, nagyon könnyű ismét előállítani. Úgy tűnik, hogy elég hozzá néhány paramétert megváltoztatni az URL címben, így igen könnyű lett volna létrehozni egy eszközt, amely segítségével az adathalász felhasználó elkezdi tömeges törlésnek alávetni más felhasználók képeit.

A bug, mondja Arul, a Facebook „support” felületén bukkant fel, amelyen láthatja a felhasználó az értékelésre elküldött beszámolók státuszát (ezekben jelentik be például a nem megfelelő profilokat, fotókat vagy spameket).

Ha egy felhasználó bejelentett egy fotót ilyen módon és a Facebook úgy döntött, nem fogja erőszakkal törölni, az a bizonyos felhasználó kapott volna egy linket, amivel egy gyors eltávolítási kérelmet küldtek volna annak, aki feltöltötte a képet és amely teljesíthető egyetlen kattintással. Úgy tűnik, ez a link volt a gyenge pont.

Megváltoztatva néhány számot a link URL-jében, Arul szerint bármely felhasználó bármely fotóját törölhette volna – függetlenül attól, hogy valójában kihez tartozott a kép és, hogy azt jelentették-e vagy sem. Küldhetett volna egy eltávolítási kérelmet akár egy híresség profilján lévő kép miatt például az ő saját másodlagos profiljának is. A célprofil semmit sem látott volna addig, míg a fotó nem törlődik.

Itt van Arul videója, amelyben demonstrálja a gyenge pont működését nem más profilján, mint Mark Zuckerbergén:


Delete any Photo from Facebook by Exploiting Support Dashboard from Arul Kumar.V on Vimeo.

A bugot, ha minden igaz, már javították.


Forgács Mariann

Több mint 7 éve csapatával, az első hazai social media ügynökségként segít eligazodni a közösségi kommunikáció folyamatosan változó világában. Az elmúlt évek szakmai tapasztalatának és a változatos ügyfélkörnek …