>> Выработка электроэнергии в России за 8 месяцев снизилась на 0,5%

>> Доклад ООН: фаст-фуд разоряет мировую экономику

Взломщик отыскал ошибку, позволяющую удалять всякую фотографию из Facebook

Спец по информационной сохранности Арул Кумар нашел уязвимость, которая дозволяет взломщикам удалять всякую фотографию из Facebook, и получил за это $12 500 от администрации соцсети, пишет TechCrunch.

Как докладывал Digit.ru, традиционно хакеры получают от Facebook как минимум $500 за выявление критических уязвимостей в соцсети, и вознаграждение увеличивается в зависимости от значимости отысканной ошибки. Средняя сумма выплат составляет около $1500. Подобные программы по вознаграждению посторониих профессионалов за поиск уязвимостей есть у Гугл, «Яндекс» и остальных больших компаний.

Индийский взломщик Кумар обрисовал ошибку в собственном блоге, где указал, что уязвимость дозволяет хоть какому человеку удалить полностью всякую фотографию с Facebook, включая снимки на чужих аккаунтах и общественных страничках. Опасность уязвимости, отмечает TechCrunch, заключалась также в простоте ее воспроизведения и способности удалять много изображений сразу. Уязвимость кроется в разделе Facebook, который дозволяет отследить статус жалоб к администрации (например, на профили спамеров либо порнографические фото).

Ежели юзер жаловался на фотографию, но Facebook решала не удалять снимок, он получал ссылку, при помощи которой мог впрямую попросить другого юзера (не непременно обладателя) убрать фото с веб-сайта. Изменение пары цифр в URL-адресе ссылки дозволяло удалить хоть какой снимок, говорит взломщик. Арул Кумар показал выявленную ошибку на примере аккаунта главы Facebook Марка Цукерберга.

Но, как докладывал Digit.ru, похожие деяния ранее помешали другому хакеру получить вознаграждение за уязвимость, позволяющую публиковать записи на стенках остальных юзеров. В то же время, в данном случае эксперт не взламывал акк Цукерберга, а только показал весь процесс на видео, не нажимая крайней клавиши для удаления фото. По правилам Facebook для проверки уязвимости необходимо применять тестовые аккаунты, а не настоящие странички остальных юзеров без их разрешения.