Изображение новости:

 

Индийский хакер Арул Кумар (Arul Kumar) обнаружил баг в Facebook, позволяющий удалить любую фотографию из профиля любого пользователя, не ставя его в известность.

Уязвимость была найдена на портале техподдержки соцсети. Портал позволяет отслеживать статус жалобы на определенный аккаунт или контент, поданной пользователем. В случае, если Facebook приняла решение не удалять контент, на который пожаловался пользователь, заявитель получает ссылку, которая позволяет ему отправить быстрый запрос на удаление непосредственно пользователю, загрузившему контент. По этой ссылке будет доступна кнопка, которая позволяет удалить контент одним кликом. Если поменять в ссылке пару чисел, то можно удалить через нее фотографию любого пользователя, независимо от того, жаловался на нее кто-то, или нет.

Арул Кумар продемонстрировал уязвимость на примере фотографии в аккаунте Марка Цукерберга, но не стал совершать последнее действие и действительно удалять ее. Свои действия он заснял на видео. За найденный баг Facebook наградила Кумара премией в $12500.

Недавно другой индийский хакер, Халил Шритех, нашел уязвимость, позволяющую размещать сообщения на стене любого человека. Для демонстрации бага он тоже использовал страницу Марка Цукерберга, однако, в отличие от своего коллеги, действительно взломал ее, запостив на стене основателя Facebook свое сообщение. В результате соцсеть отказалась выплачивать Шритеху полагающуюся за найденную уязвимость премию. Впрочем, без вознаграждения он не остался : деньги собрали другие хакеры через карудфандинговую платформу Kickstarter.