Раскрыта уязвимость в Facebook, позволяющая удалить любое видео с сайта

Олег Иванов 24 Января 2017 - 20:02

...

Раскрыта уязвимость в Facebook, позволяющая удалить любое видео с сайта

Facebook выплатил исследователю 10 000 $ за обнаруженную уязвимость, которая позволяла удаленно удалить любое видео с сайта.

Эксперт Дэн Меламед (Dan Melamed) сообщил об этой бреши Facebook еще летом. Однако только в понедельник он раскрыл подробности, касающиеся этой уязвимости.

Дэн обнаружил, что видео, загруженные на страницу публичного мероприятия на Facebook имеют присвоенный им идентификатор. Размещая видео на странице, эксперт мог заменить его идентификатор на идентификатор видео, которое он хотел удалить, таким образом прикрепив это видео к своему посту. Далее все, что нужно было сделать исследователю, это удалить свое сообщение и целевое видео удалялось тоже.

Идентификатор видео можно легко получить из его URL. Злоумышленник может перехватить собственный запрос загрузки видео и заменить идентификатор.

Помимо удаления видео, тот же метод может быть использован для отключения комментариев под атакуемым видео. Это можно было сделать с помощью опции "Выключать комментарии" в том же самом выпадающем меню, в котором находится опция "Удалить сообщение".

Эксперты даже опубликовали видео, подтверждающее наличие уязвимости и демонстрирующее ее эксплуатацию.

Facebook потребовалось всего несколько дней после получения отчета эксперта, чтобы исправить брешь. Самому исследователю соцсеть решила выплатить 10 000 $ в качестве вознаграждения.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 17 Июля 2025 - 19:15

Соответствие законодательству РФ Домашние пользователи Государство

Минцифры предлагает предоставлять отсрочки ИТ-специалистам без дипломов

Минцифры предложило расширить перечень ИТ-специалистов, имеющих право на отсрочку от призыва в армию. Нововведения касаются тех, кто окончил обучение, но на момент формирования списков ещё не получил диплом о высшем образовании.

Соответствующий проект опубликован на Портале проектов нормативных актов. К уже действующим критериям планируется добавить два новых:

Право на отсрочку получат сотрудники аккредитованных ИТ-компаний, завершившие обучение, но не имеющие диплома на момент формирования списков Минцифры (например, если выпуск состоялся в январе, а диплом будет выдан в феврале). В этом случае документ необходимо будет предоставить в призывную комиссию отдельно;
В перечень ИТ-специальностей для получения отсрочки предложено включить дополнительные направления: магистратуру по специальностям «Радиофизика» и «Статистика», бакалавриат по направлению «Ядерная физика и технологии» и ряд других.

«Изменения помогут молодым специалистам без перерыва строить карьеру в ИТ, а также позволят сохранить квалифицированные кадры в отрасли. При этом новые правила не создадут дополнительной нагрузки для бизнеса», — отметили в Минцифры.

Если поправки будут приняты, они вступят в силу с 2026 года и не затронут осенний призыв 2025 года.