Индийский специалист по информационной безопасности Арул Кумар получил от Facebook $12,5 тысячи за то, что обнаружил баг, позволяющий хакерам удалять любую фотографию в соцсети. Сначала команда Facebook не могла определить описываемую Кумаром ошибку. Это вынудило специалиста сделать видео, в котором он наглядно продемонстрировал, как практически удалил фотографию Марка Цукерберга.
Подробную схему, как это происходит, Кумар описал в своем блоге. Если коротко: пользователь отправляет запрос на удаление фотографии в администрацию Facebook, к примеру, из-за порнографического контекста. Сотрудники соцсети не удаляют изображение сами, а отправляют пользователю ссылку, с помощью которой тот мог напрямую попросить другого пользователя (не обязательно владельца) убрать фотографию. Изменение нескольких цифр в URL-адресе ссылки позволяло удалить любой снимок.
Обычно Facebook выплачивает минимум $500 тем, кто обнаружит уязвимость в соцсети. Средняя сумма выплат составляет около $1,5 тысячи, но цифра может увеличиться в зависимости от важности обнаруженной ошибки. Судя по сумме выплаты Кумару, обнаруженный им баг оказался действительно серьезной уязвимостью в соцсети.
Источник: slon.ru
