Марк Цукерберг. Фото с сайта fastcompany.com
<!--/noi
Палестинский хакер Халиль Шритех обнаружил уязвимость в Facebook, которая позволила ему публиковать записи на стенах любых пользователей, даже если они не являются его друзьями. Шритех разместил об этом пробный пост (ссылку на видеоклип) на странице пользовательницы Сары Гудин, учившейся в одном колледже с основателем Facebook Марком Цукербергом, и рассказал об этом службе Whitehat, занимающейся приемом сообщений об ошибках в Facebook.
Хакер сообщил, что найденный им баг позволяет публиковать записи на страницах любых пользователей. После чего он привел ссылку на свой пост на странице Сары Гудин. Копию письма он разместил в своем персональном блоге. Служба Whitehat ответила, что не может открыть ссылку и что найденный Шритех баг вовсе не является багом. После этого хакер попытался объяснить службе, что они не могут открыть ссылку, потому что Гудин закрыла свою страницу, но сам он может получить доступ, потому что является автором поста. В Facebook проигнорировали это объяснение.
После этого Шритех разместил пост на странице Марка Цукерберга, который стал виден всем. В нем он написал, что дважды связывался со службой Whitehat, пытаясь рассказать о найденной уязвимости, но они не обратили на него внимания. Он попросил Цукерберга принять меры, извинившись за то, что ему пришлось побеспокоить его таким образом. "У меня не было другого выбора", — написал Шрите.
Через минуту аккаунт хакера на Facebook был заблокирован. Администрация социальной сети не объяснила причину блокировки, но в письме, которое получил палестинец, было сказано, что данная мера является "превентивной" и что администрация Facebook может блокировать любой аккаунт без объяснения причин.
Примечательно, что позже уязвимость была устранена, о чем разработчики Facebook сообщили на специальном сайте. Они рассказали, что Шритех изначально не рассказал им, как воспроизвести баг, а это необходимо делать при сообщении об ошибках, согласно официальным правилам. Шритех в одном из писем службе Whitehat прямым текстом спросил, сколько он может получить за свою находку. По правилам Facebook, минимальное вознаграждение составляет 500 долларов, но чтобы его получить, сообщение об ошибке должно быть корректно составлено. В настоящее время Халиль Шритех является безработным, напротив этой информации в его блоге стоит грустный смайлик.
В комментариях в блоге хакера пользователи по большей части заняли сторону Facebook, пояснив, что Шритеху следовало составить уведомление по правилам. Они также указывают на грамматические ошибки, которые он допускает в своих сообщениях. Хакер ответил, что не удосуживается проверкой орфографии.