Опасная уязвимость могла оставить Facebook без фотографий
Исследователь Лаксман Матийя обнаружил уязвимость Facebook, которая потенциально позволяла киберпреступникам удалять любые фотографии из этой социальной сети. Причем для этого ему потребовались лишь аутентификационный код Facebook, получаемый приложением для Android при входе в учетную запись, и код альбома-жертвы в социальной сети, который отображается в адресной строке браузера при загрузке альбома.
«Я нашел способ удалить любой фотоальбом из Facebook, вне зависимости от того, кем он был создан», - объявил Матийя, опубликовав также видео с подтверждением эффективности своей атаки. К чести исследователя, еще раньше он сообщил об обнаруженной уязвимости специалистам Facebook. Тем потребовалось менее 2 часов, чтобы ликвидировать проблему. Лаксман Матийя получил от социальной сети вознаграждение в сумме 12500 долларов. Это одна из самых крупных сумм, когда-либо выплаченных Facebook в рамках программы премирования пользователей за информацию об обнаруженных уязвимостях (bug bounty).
Заместитель генерального директора Технического центра Интернет Марина Никерова так прокомментировала это сообщение: «Характерно, что Facebook привлек сторонних исследователей для того чтобы найти уязвимости и исправить ее. Такую практику применяют многие компании, руководствуясь простой логикой, что уязвимости все равно будут искать, и все равно постараются монетизировать эту работу. Соответственно, лучше оплатить работу самостоятельно и получить всю информацию об уязвимости сразу, чем потом ждать, что ее используют во вред пользователям».
