Представитель команды по компьютерной безопасности социальной сети Facebook признал в прошлые выходные, что после сообщения об обнаруженной уязвимости, о которой заявил независимый исследователь, группе следовало предпринять ряд действий по защите сети. Однако компания предпочла придерживаться прежней политики обнаружения багов.

В результате ошибка, обнаруженная палестинским исследователем в области компьютерной безопасности Халилом Шритехом (Khalil Shreateh), дала ему возможность размещать сообщения на стене любого пользователя Facebook, вне зависимости от того, входит ли этот пользователь в число его френдов. Шритех сообщил о своей находке в команду Facebook еще на прошлой неделе, но его сообщение не заинтересовало сотрудников, занимающихся информационной безопасностью сети.

Тогда Шритех использовал обнаруженный им баг, чтобы написать свое сообщение на стене генерального директора Facebook Марка Цукерберга (Mark Zuckerberg).

«Дорогой Марк Цукерберг, прежде всего, извини меня за нарушение конфиденциальности и размещение сообщения на твоей стене. Но у меня нет иного выбора после всех сообщений, что я отправил команде Facebook» — так звучал пост, который на данный момент уже удален.

Член команды по безопасности Facebook Мэтт Джонс (Matt Jones) разместил на сайте Hacker News компании Y Combinator комментарий, из которого следует, что обе стороны могли бы действовать более разумно. Джонс признал, что команда Facebook должна была обратиться к Шритеху за дополнительными техническими деталями описания уязвимости. В своем блоге Шритех разместил видео с подробностями взлома, но оно, похоже, не вошло в первое электронное послание команде Facebook.

«Мы вынуждены не согласиться с идеей размещения здесь дополнительных подробностей», — написал Джонс на Hacker News, при этом сообщив, что, хотя английский язык Шритеха далек от совершенства, это не должно было быть препятствием для команды по безопасности Facebook.

Согласно посту в блоге Шритеха, первоначально он продемонстрировал обнаруженную им уязвимость, разместив видео с певцом Энрике Иглесиасом на стене знакомой Марка Цукерберга — Сары Гудин (Sarah Goodin). Шритех надеялся, что его действия привлекут внимание команды по безопасности Facebook, однако вместо этого он получил ответное сообщение об отсутствии уязвимости. Именно после этого Шритех перешел на аккаунт Цукерберга, который и взломал с помощью обнаруженного им бага.

«Использование уязвимостей, чтобы повлиять на реальных пользователей, неприемлемо для «белого хакера», — заявил Джонс, добавив, что путь, который выбрал Шритех для сообщения о найденной им уязвимости, отменяет его право на получение вознаграждения.

Компания Facebook призвала пользователей, участвующих в программе Bug Bounty, «стараться оставаться в рамках порядочности, чтобы избегать нарушения конфиденциальности». Для исследования уязвимостей следует использовать пробную учетную запись и «не взаимодействовать с аккаунтами других пользователей без их согласия». По словам Джонса, действия Шритеха не соответствовали ни одному из этих правил.

«Мы рады его видеть и готовы платить за будущие отчеты (как и любому другому пользователю!), если они будут подготовлены и представлены с учетом данных принципов», — подчеркнул Джонс в конце своего поста.

Facebook запустила свою первую программу Bug Bounty еще в 2011 году. В течение двух последних лет эта гигантская социальная сеть выплатила более 1 млн долларов 329 исследователям. Ученые из Калифорнийского университета в Беркли в начале этого года подтвердили, что программы Bug Bounty, по крайней мере на примере Google и Mozilla, в 100 раз более рентабельны, чем наем штатных экспертов для поиска уязвимостей.

Если бы Шритех использовал фиктивные аккаунты для демонстрации обнаруженного им бага и дал более подробные объяснения, реакция на его действия была бы, наверное, более спокойной. И было бы еще лучше, если бы хакер держался подальше от аккаунта Цукерберга. Как сообщает Шритех, его аккаунт сначала был отключен, но вскоре после описанных событий восстановлен.

Вся эта ситуация напоминает недавнюю историю, когда PayPal отказался оплачивать по программе Bug Bounty работу 17-летнего Роберта Куглера (Robert Kugler). Исследователь обнаружил ошибку на сайте популярного интернет-магазина, разрешающую межсайтовый скриптинг (cross-site scripting, XSS). После довольно сумбурных объяснений PayPal в конечном итоге признал, что Куглер не может претендовать на вознаграждение из-за того, что слишком молод для заведения аккаунта на данном сайте.

Итак, несмотря на то что в будущем Facebook, возможно, займет более лояльную позицию по отношению к действиям своих исследователей безопасности, пока компания строго придерживается своих убеждений, что Шритех нарушил установленные правила.

Категории: Главное, Уязвимости, Хакеры