Если ваша страница в Facebook не является публичной, то другие, по идее, не имеют возможности что-либо на ней писать. Однако разработчик из Палестины Халил Шритех обнаружил уязвимость, которая позволяла любому пользователю разместить ссылку на чужой странице, пишет The Verge.
Шритех сообщил об ошибке в Facebook в надежде получить вознаграждение, но компания проигнорировала проблему, ответив, что это не баг. В итоге он, используя этот же баг, запостил сообщение о нём прямо на страницу Марка Цукерберга.
Перед тем, как сообщить о баге в Facebook, Шритех протестировал его на Саре Гудин — подруге Цукерберга. В письме в Facebook он описал подробности, отметив, что служба безопасности может не увидеть его пост на странице Гудин, поскольку её профиль открыт только для друзей. Несмотря на прикреплённый скриншот поста, инженер Facebook, назвавшийся Эмракулом, ответил: «Я сожалею, но это не ошибка».
Неудовлетворённый ответом, Шритех решил самостоятельно уведомить Марка Цукерберга о баге, разместив пост на его странице. Через несколько минут инженер Facebook Ола Окелола связался со Шритехом, запросив подробную информацию о баге. Facebook отключил аккаунт Шритеха, по-видимому опасаясь других последствий.
Сейчас аккаунт Шритеха снова активирован, но компания утверждает, что в его изначальном сообщении о баге «было недостаточно технической информации». В письме Шритеху инженер Facebook, назвавшийся Джошуа, написал, что компания «не может заплатить вам за эту уязвимость, потому что ваши действия нарушили наши условия использования сервиса». При этом он он выразил надежду, что Шритех продолжит работу по поиску уязвимостей.
ссылка на оригинал статьи http://habrahabr.ru/post/190476/
Добавить комментарий