Эксперт по информационных технологиям Палестины заявил что он был вынужден выложить отчет об ошибках на странице Марка Цукерберга после того как отдел безопасности компании не признал что существует критическая уязвимость, которая позволяет оставлять сообщения на любых страницах!
Уязвимость, которая была найдена человек, который называет себя Халил, позволяет любому пользователю Facebook постить на стене других пользователй. Даже если эти пользователи не добавили вас в друзья. Он проинформировал отдел безопасности компании о уязвимости через страницу обратной связи в Facebook, которая кстати предлагает награду в 500 долларов за каждую найденную уязвимость.
Однако специалисты компании не подтвердили реальность этой ошибки, даже после того как Халил предоставил им ссылку на свой пост, в котором он провернул этот трюк, и сделал пост на странице одной студентки университета, где кстати учился и сам Цукерберг.
«Извините, но это не баг» — вот какой ответ получил исследователь, после своего предложения повторить демонстрацию еще раз.
После этого ответа, Халил понял что у него нет другого шанса, как доказать уязвимость, сделав пост на странице Цукерберга.
На скрине с его блоге видно что Халил раскрыл некоторые детали найденной уязвимости на странице основателя, как впрочем и свое возмущение из-за не профессионализма команды безопасности.
Халил сказал что спустя минуту после его поста, он получил ответ от с запросом подробностей уязвимости от инженера компании. Его аккаунт забанили, пока команда безопасности закрывала лазейку.
И после получения третьего отчета об уязвимости, специалист безопасности Facebook наконец-то подтвердил уязвимость, но Халил не получил оплаты, поскольку его действия нарушают условия соглашения.
Хотя программа Facebook «Белая Шляпа» по сотрудничеству в поиске уязвимостей не устанавливает предел вознаграждения для сложных и творческих багов, она устанавливает ряд правил, которым должны следовать соискатели на награду, чтобы получить деньги. Но компания конечно же не уточнила какие именно правила были нарушены Халилом.
В своем последнем ответе Facebook восстановил аккаунт Халила, и выразили надежду что он продолжит искать ошибки и дальше.
Что думаете об этом? Не кажется ли вам, что это явно попытка на халяву получить данные об ошибке?
