В Facebook можно было удалять любую фотографию

Индийский исследователь Арул Кумар (Arul Kumar) обнаружил ошибку в Facebook, которая позволяла любому пользователю удалить любую фотографию, для которой известен идентификатор и владелец. Социальная сеть генерировала ссылку для удаления фотографий, которые пользователь не хотел публиковать. Однако, как оказалось, идентификатор пользователя и самой фотографии можно было модифицировать, то есть у любого пользователя Facebook появлялась возможность удалить не только свои фотографии, но и любые другие. Таким способом можно было удалить общедоступные фотографии, помеченные тегами фоторепортажи, снимки знаменитостей и много другой графической информации.

Когда сообщение о найденной ошибке исследователь послал в службу обеспечения безопасности Facebook, вначале ошибка не была подтверждена. Кумару пришлось снять видео как он удаляет фотографию из специально созданного альбома демонстрационной учётной записи. После этого ошибка была признана, и сотрудники компании полностью её исправили в самое короткое время. Кумару достался гонорар за найденную уязвимость в размере 12,500 долл.

Ранее мы уже писали о проблеме с признанием ошибок командой обеспечения безопасности Facebook, но сейчас программа сработала успешно - ошибка была признана компанией и оперативно исправлена. Действия подобных исследователей оказываются часто более эффективны, чем содержание специальной команды собственных тестировщиков, поэтому компании предпочитают сами выкупать сведения о собственных ошибках, а не давать наживаться на них чёрному рынку.

Оцените материал:
You voted 2. Total votes: 48
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.