Взломщик из Палестины Халил Шриатех объявил об обнаружении уязвимости в главной соцсети Facebook. Выявленная юношей брешь позволяет без ведома пользователей публиковать сообщения на их личных страницах.

Палестинец Халил Шриатех опубликовал известие на странице основателя и гендиректора Facebook Марка Цукерберга. Хакер поведал, что сообщил об уязвимости в тех. поддержку соцсети, но там информацию не восприняли всерьез, замечает РИА Новости.

Пользователь Facebook может в настройках указать, кто вправе публиковать на его стене - только он сам, его приятели либо все пользователи соцсети. В изначальном сообщении, которое эксперт направил в Facebook, он продемонстрировал, что может опубликовать гиперссылку на странице подруги Цукерберга по институту Сары Гудин. При всем при этом она ограничивала список публикующих на ее стене друзьями, а Шритех не входил в их список.

Работник команды по безопасности Facebook, к которому попало известие, помимо прочего не входил в перечень приятелей Гудин и поэтому не смог увидеть запись. "Я не вижу ничего помимо ошибки, когда прохожу по гиперссылке", - такой ответ он направил Шриатеху. Взломщик снова отправил сообщение с этой же гиперссылкой, изъясняя, что для ревизии человек обязан входить в список друзей Гудин, или "использовать полномочия для просмотра приватной записи". Представитель команды Facebook ответил, что это не уязвимость.

Тогда уже хакер принял решение продемонстрировать погрешность, разместив следующее известие в хронике Марка Цукерберга: "Извини, что нарушил приватность записей на твоей стене. У меня не было других вариантов после всех известий, которые я отправил команде Facebook".

После появления несанкционированного сообщения на таймлайне Цукерберга эксперты Facebook по безопасности связались с Шриатехом в течение нескольких минут. Аккаунт палестинца в соцсети был на время заблокирован, информирует "Интерфакс".

Составные части эксплойта, позволявшего злоумышленникам "спамить" таймлайны простых пользователей, не раскрываются. В Facebook сказали, что исключили уязвимость. Там помимо прочего добавили, что Шриатех поступил некорректно, без разрешения опубликовав сообщения о ней на страницах нескольких пользователей.

Обычно, хакеры получают от Facebook как минимум 500 $ за выявление уязвимостей в соцсети. Но Шритех гонорары не получит - в условиях программы поощрения Whitehat сказано, что для ревизии уязвимости надо использовать тестовые аккаунты, а не настоящие страницы других пользователей без их разрешения. Также, его сообщение не содержало подробностей, как воспроизвести ошибку.