Уязвимость разрешает удалить всякую фотографию с Facebook, включая снимки на чужих общественных страничках и аккаунтах. Опасность уязвимости заключалась также в простоте ее способности и проигрывания удалять достаточно много изображений в один миг.Почти всегда хакеры получают от Facebook как минимум 500 баксов за обнаружение критичных уязвимостей в соцсети, и вознаграждение растет зависимо от значимости найденной некорректности. Средняя сумма выплат создает около 1,5 тыщи баксов.
Подобные программки по вознаграждению посторониих профессионалов за поиск уязвимостей имеется у Google, и других огромных компаний.Эксперт по информационной безопасности Арул Кумар нашёл уязвимость, которая разрешает взломщикам удалять всякую фотографию из Facebook, и взял за это 12,5 тыщ баксов от администрации соцсети.
Индийский взломщик Кумар описал некорректность в своем блоге, где указал, что уязвимость разрешает хоть какому человеку удалить всякую фотографию с Facebook, включая снимки на чужих общественных страничках и аккаунтах. Опасность уязвимости, отмечает TechCrunch, заключалась также в простоте ее способности и проигрывания удалять достаточно много изображений в один миг.Уязвимость кроется в разделе Facebook, что разрешает отследить статус жалоб к администрации (например, на профили спамеров или порнографические фото). В случае если юзер сетовал на фотографию, но Facebook решала не удалять снимок, он приобретал ссылку, благодаря которой имел возможность впрямую попросить другого юзера (не непременно носителя) убрать фото с веб-сайта.
Изменение нескольких цифр в URL-адресе ссылки разрешало удалить хоть какой снимок, гласит взломщик.Арул Кумар показал распознанную некорректность на примере аккаунта главы Facebook Марка Цукерберга.
Похожие деяния ранее помешали второму хакеру взять вознаграждение за уязвимость, разрешающую публиковать записи на стенках вторых юзеров. Сразу с этим, в данном случае спец не взламывал акк Цукерберга, а только показал целый процесс на видео, не нажимая последней кнопки для удаления фото.
Верно Facebook, для проверки уязвимости нужно использовать тестовые аккаунты, а не истинные странички вторых юзеров без их разрешения.