Специалист по безопасности из Палестины Khalil Shreateh обнаружил уязвимость в Facebook, которая позволяет любому написать в чьей-либо Timeline, даже пользователям, с которыми вы не друзья.

Халил оставил отчет об уязвимости на странице программы вознаграждений, где, напомним, минимальное вознаграждение за найденную уязвимость составляет $500, а максимального размера нет. Халил оставил в отчете об уязвимости ссылку на Timeline, где он написал сообщение с помощью найденной уязвимости.

Работник команды безопасности Facebook по этой ссылке ничего не увидел, потому что он не является другом того пользователя соцсети. Он ответил, что видит только уведомления об ошибке когда кликает на линк. Халил отписал об этом, и попросил сделать тестовый аккаунт, на котором он продемонстрировал бы эту уязвимость. Также Халил добавил, что может запостить что-то и на стену Марка Цукерберга, но не будет этого делать, потому что уважает приватность. Команда Facebook проигнорировала этот ответ.

Тогда Халил послал еще один отчет, где добавил скриншот, который доказывает правоту его слов. Ответ был очень коротким: «простите, но это не баг».

Халил сказал им, что нет другого выхода как написать в Timeline Марка Цукерберга:

Что он и сделал:

За несколько минут инженер по безопасности Facebook откомментировал изображение со скриншотом на странице Халила и попросил прислать ему все детали об уязвимости. Но еще через минуту аккаунт Халила заблокировали. Халил зарегистрировал еще один аккаунт, и послал с него отчет с описанием этих событий и информации об уязвимости.

Ему ответили письменно, что заблокировали аккаунт в качестве меры предосторожности, потому что не понимали что происходит. Его отчеты об уязвимости они назвали такими, что им не хватает технических деталей и что они не могут отвечать на отчеты, в которых недостаточно информации для воспроизведения проблемной ситуации. Кроме того, соцсеть не может заплатить Халилу за найденную уязвимость, потому что его действия нарушили условия пользования соцсетями. Но аккаунт Халилу восстановили.

Вот видео, на котором Халил демонстрирует уязвимость:

Инженер по безопасности Facebook Мэн Джонс заявил, что демонстрировать баги на аккаунтах пользователей без их ведома - недопустимо. Кроме того, соцсеть позволяет исследователям создавать тестовые аккаунты по адресу www.facebook.com / whitehat / accounts для ответственного исследования.

Несмотря на то, что вознаграждения от Facebook Халил не получит, предложений ему пока хватает: