История открытия последней уязвимости в социальной сети Facebook

Если профиль пользователя социальной сети Facebook не является публично доступным, то другие пользователи не имеют возможности размещать на стене свои сообщения. По-крайней мере, так должно быть: однако, недавно полупрофессиональный эксперт в области информационных технологий  Халил Шретех (Khalil Shreateh) из Палестины объявил в своём блоге о нахождение уязвимости, которая даёт возможность любому желающему оставлять сообщения на стенах в любых профилях. По его словам, он сообщил о данном открытии в компанию Facebook, как и предусмотрено в таких случаях, однако, проблема была проигнорирована.

Рассказ о том, как разворачивались события, подробно изложен в блоге Шретеха. Первоначально он протестировал уязвимость на странице профиля одного из друзей Марка Цукерберга. На основе этого было отправлено сообщение в сервис Facebook whitehat disclosure, который специально предназначен для получения сообщений от экспертов в области сетевой безопасности. За сообщение об уязвимостях этот сервис предусматривает минимальное вознаграждение в $500. Приложив скриншоты своих действий, Шретех отправил электронное письмо специалистам Facebook, но получил ответ от программного инженера под ником Emrakul, согласно которому данная возможность уязвимостью не является. Дальнейшими деталями у него никто не поинтересовался.

Неудовлетворённый таким ответом, Шретех отправил пост непосредственно на страницу Цукерберга. Всего лишь несколько минут спустя его открытие стало для компании более интересным. Другой инженер отправил Шретеху сообщение, попросив предоставить дополнительные подробности своего открытия, попутно заблокировав его страницу в социальной сети (позднее доступ к ней был восстановлен).

В итоге уязвимость в прошлый четверг была исправлена, однако компьютерный энтузиаст награды так и не дождался, поскольку его действия «нарушают условия пользовательского соглашения Facebook». Оно гласит, в частности, что «использование уязвимостей таким образом, что оно влияет на пользователей социальной сети, недопустимо». В данном случае, по мнению компании, исследователь использовал своё открытие для написания постов в профилях нескольких пользователей без их согласия.