Лого vc.ru

Фейсбук зажал $500 палестинскому хакеру за эксплойт, который позволял запостить что угодно на стену кому угодно

Фейсбук зажал $500 палестинскому хакеру за эксплойт, который позволял запостить что угодно на стену кому угодно
Поделиться
Недавно мы писали про то, как хакерам, которые нашли уязвимость в ВКонтакте, заплатили $5000. Вчера небольшой скандал, связанный с безопасностью случился на Фейсбуке.

Хакер из Палестины Khalil Shreateh (для простоты будем называть его Халил), написал длинный пост, в котором описал свои попытки донести до инженеров Фейсбука информацию о найденном баге.  Началось с того, что специалист по безопасности написал собщение на специальной странице, где сообщил о том, что он закончил институт по специальности "Информационные системы" и дал ссылку на стену пользователя, где с аккаунта Халила было оставлено видео:



Специалист из команды Фейсбука ответил, что по ссылке Халила отображается страница с ошибкой:
Hi Ḱhalil,
I dont see anything when I click link except an error.
Thanks,

Emrakul
Facebook Security

Халил, как честный хакер, написал еще одно письмо, в котором приложил скриншот, и объяснил специалистам Фейсбука, что те не видят пост на стене пользователи потому что не находятся у нее в друзьях (как, собственно, и Халил). На что получил примерно тот же ответ:
Hi Ḱhalil,

I am sorry this is not a bug.
Thanks,

Emrakul
Facebook Security

До появления первого европейского имени осталось несколько часов.

Халил не растерялся и запостил сообщение на стену прямо Марку Цукербергу, у которого на данный момент больше 16 млн. подписчиков. В надежде хоть так достучаться до сердец и голов профессионалов, которые отвечают за безопаность:



Полная версия послания (со стены Цукерберга оно уже, естественно, удалено)

Справедливости ради отметим, что вряд ли Халил хотел рассказать о баге в Фейсбук бескорыстно. Компания, которая стоит $90 млрд. платит за каждый найденный баг от $500 до бесконечности, и, учитывая серьезность бага, Халил вполне мог рассчитывать тысяч на 50 долларов. При минимальной зарплате в Палестине в $377, даже $500 было бы серьезным подспорьем:



Через несколько минут после появления поста на стене Марка, с Халилом связался специалист по безопасности Фейсбука Оле Окелола и попросил прислать ему через Фейсбук все детали найденного эксплойта.

К сожалению, сделать этого Халил не успел, т.к. ему деактивировали аккаунт. Сообразительный палестинский хакер сделал новый, написал запрос в службу поддержки и попросил восстановить старый аккаунт, что и было сделано:
Facebook disabled your account as a precaution. When we discovered your activity we did not fully know what was happening. Unfortunately your report to our Whitehat system did not have enough technical information for us to take action on it. We cannot respond to reports which do not contain enough detail to allow us to reproduce an issue. When you submit reports in the future, we ask you to please include enough detail to repeat your actions.

We are unfortunately not able to pay you for this vulnerability because your actions violated our Terms of Service. We do hope, however, that you continue to work with us to find vulnerabilities in the site.

We have now re-enabled your Facebook account.

Joshua
Security Engineer
Facebook

Сложно посчитать, сколько раз Фейсбук нарушил свои собственные правила, но восстановить чуваку аккаунт с фотографией Сноудена и "полным именем" Халил это уже чересчур. Те, у кого блокировали аккаунты и целые группы за какую-то мелочь вроде ненастоящей фамилии или торчащего на фотографии женского соска, меня поймут:

[caption id="" align="aligncenter" width="861"] shit's legit bro[/caption]

Как вы заметили из предыдущего письма поддержки - вознаграждение Халилу так и не выплатят - что-то он там нарушил в процессе. Но парень не унывает, вот скриншот его инбокса:



У нас в редакции все хакеры уехали на лето к бабушке, но если нас читает кто-то из профессионалов, можете посмотреть видео. Не очень понятно, но судя по всему там что-то несложное - подменяют какой-то элемент:

На ютубе нарастает волна возмущения: топовые комменты - попытка заставить Фейсбук выплатить Халилу деньги и полный список того, что типичный пользователь ютуба знает про Палестину:



Тем временем Халил стал настоящей звездой, получает 10 сообщений в секунду и не успевает отвечать прессе (мы не дождались ответа), поэтому подписыватесь на него, на нас, и ломайте Фейсбук (за деньги).

PS: на Hackernews сотрудник Фейсбука рассказывает всякое интересное про этот кейс. Выяснилось, что Халил нарушил правила репорта багов по безопасности, поэтому денег не получит. А вообще "Фейсбук выплатил больше 1 миллиона долларов сотням хакеров", что дает нам средний чек в $1-10 тысяч.
Популярные статьи
Показать еще