Хакер нашел ошибку, позволяющую удалять любую фотографию из Facebook

Хакер нашел ошибку, позволяющую удалять любую фотографию из Facebook

Специалист по информационной безопасности Арул Кумар обнаружил уязвимость, которая позволяет хакерам удалять любую фотографию из Facebook, и получил за это 12,5 тысяч долларов от администрации соцсети, пишет TechCrunch.

Как сообщал Digit.ru, обычно хакеры получают от Facebook как минимум 500 долларов за выявление критических уязвимостей в соцсети, и вознаграждение возрастает в зависимости от важности найденной ошибки. Средняя сумма выплат составляет около 1,5 тысячи долларов. Аналогичные программы по вознаграждению сторонних экспертов за поиск уязвимостей есть у Google, «Яндекс» и других крупных компаний, пишет digit.ru.

Индийский хакер Арул Кумар описал ошибку в своем блоге, где указал, что уязвимость позволяет любому человеку удалить абсолютно любую фотографию с Facebook, включая снимки на чужих аккаунтах и публичных страницах. Опасность уязвимости, отмечает TechCrunch, заключалась также в простоте ее воспроизведения и возможности удалять много изображений одновременно.

Уязвимость кроется в разделе Facebook, который позволяет отследить статус жалоб к администрации (к примеру, на профили спамеров или порнографические фотографии). Если пользователь жаловался на фотографию, но Facebook решала не удалять снимок, он получал ссылку, с помощью которой мог напрямую попросить другого пользователя (не обязательно владельца) убрать фото с сайта. Изменение нескольких цифр в URL-адресе ссылки позволяло удалить любой снимок, говорит хакер.

Арул Кумар продемонстрировал выявленную ошибку на примере аккаунта главы Facebook Марка Цукерберга. Однако, как сообщал Digit.ru, похожие действия помешали другому хакеру получить вознаграждение за уязвимость, позволяющую публиковать записи на стенах других пользователей. В то же время, в этом случае эксперт не взламывал аккаунт Цукерберга, а лишь показал весь процесс на видео, не нажимая последней кнопки для удаления фото. По правилам Facebook, для проверки уязвимости нужно использовать тестовые аккаунты, а не реальные страницы других пользователей без их разрешения.

Геолокацию россиян предложили передавать полиции в случае опасности

Депутаты фракции «Новые люди» предложили МВД запустить сервис «Безопасный маршрут» — функцию для передачи геопозиции человека в полицию и экстренные службы, если ему угрожает опасность. Идея такая: человек сам включает временную передачу маршрута и геолокации, когда чувствует риск для жизни, здоровья или личной безопасности.

Об инициативе сообщает ТАСС. Функцию предлагают встроить в приложения «Госуслуги» и «МВД России», а также связать с цифровым контуром «Системы-112».

Письмо с предложением направили главе МВД Владимиру Колокольцеву. Работать это может как тревожный режим в смартфоне.

Пользователь заранее или прямо в опасной ситуации включает сервис, указывает конечную точку и примерное время прибытия. Либо выбирает готовый сценарий: «иду домой», «еду в такси», «нахожусь в опасной ситуации», «нужна помощь».

После активации система временно фиксирует маршрут и геолокацию. Если человек нажмёт тревожную кнопку, не подтвердит завершение маршрута или сработает другой заданный сценарий, данные передадут оператору «Системы-112» или в дежурную часть полиции.

Авторы инициативы считают, что сервис поможет быстрее определить местонахождение человека в экстренной ситуации и сократить время реакции полиции. А заодно использовать уже существующую цифровую инфраструктуру госприложений не только для справок и заявлений, но и для реальной помощи в момент, когда пользователю уже не до бюрократии.

По сути, депутаты предлагают превратить смартфон в тревожный маячок: включил маршрут, и в случае ЧП экстренные службы не начинают гадать, где тебя искать, а получают координаты.

RSS: Новости на портале Anti-Malware.ru