Главная / Пресс-центр / Новости технологий

Новости технологий

28.11.2017

Уязвимость на 10 тысяч долларов

Социальная сеть Facebook выплатила вознаграждение в сумме 10 тысяч долларов исследователю Поуя Дариби. Он обнаружил серьезную уязвимость в функции создания опросов, добавленной в Facebook менее месяца назад. Чтобы сделать опросы визуально более привлекательными, разработчики Facebook предусмотрели возможность включения в них изображений и GIF-анимации. Для этого пользователю достаточно выбрать файл с изображением или анимацией – и его идентификатор будет включен в отправляемый на серверы социальной сети HTML-запрос.

Однако Дариби выяснил, что злоумышленник в состоянии включить в этот запрос идентификатор абсолютно любого файла изображений, уже опубликованного на Facebook. Если после этого удалить создаваемый опрос, то и включенное в него изображение будет безвозвратно удалено из социальной сети. Уязвимость не могла быть использована для серьезных кибератак, но могла привести к весьма неприятным последствиям: очевидно, что пользователи, лишившиеся своих фотографий, были бы чрезвычайно возмущены. По этой причине и вознаграждение Дариби в рамках программы премирования за найденные уязвимости Bug Bounty оказалось вполне весомым. Уязвимость была устранена уже через два дня после того, как исследователь уведомил о ней представителей Facebook.


Возврат к списку