Durva biztonsági hiba a Facebookon

Hirdetés

A múlt hét és a hétvége legnagyobbat szóló biztonsági botránya volt, hogy egy palesztin autodidakta informatikus a Facebook egy súlyos biztonsági résére úgy hívta fel a figyelmet, hogy az alapító-tulajdonos Mark Zuckerberg idővonalára helyezett el üzenetet, pedig elvileg erre nem lehetett volna jogosultsága. Khalil Shreateh ezzel az akcióval épp azt akarta bizonyítani, hogy van arra módszer, hogy ne csak az azt engedélyező ismerőseink, hanem bárki idővonalára küldhessünk tartalmakat. Egy ilyen lehetőség igen veszélyes, hiszen támadók ezt felhasználhatják arra, hogy rosszindulatú kódokat, vírusokat tartalmazó oldalakra vezető linkeket helyezzenek el a felhasználók idővonalán.

Khalil Shreateh részletesen dokumentált blogbejegyzésében elmondja, hogy a Facebook felhasználási szabályzatának megfelelően járt el, jelezte a cégnek a biztonsági hibát, melyet Zuckerberg egyik ismerősének oldalán tesztelt, ám ők nem vették komolyan, egy biztonsági mérnök azt válaszolta neki, hogy: „Sajnálom, ez nem hiba.”

Shreateh másképp látta, ezért úgy döntött, hogy közvetlenül Zuckerberget értesíti, mégpedig annak a személyes Facebook-oldalára elhelyezett üzenet útján. Ez már hatásos volt, ugyanis a poszt elhelyezése után pár perccel már fel is vette vele a kapcsolatot egy másik mérnök, hogy az exploit részleteiről érdeklődjön, bár közben letiltották a hozzáférését, tartva a további bajoktól. A tiltást hamarosan feloldották, de egy újabb levélben jelezték a palesztin szakembernek, hogy nincs módjuk fizetni a biztonsági rés felfedezéséért, ugyanis ő megsértette az erre vonatkozó szabályokat és a felhasználási feltételeket.

facebook bug

Időközben a Hacker News közölt egy levelet, melyet a Facebook egyik mérnöke írt, és amelyben az áll, hogy a hibát már csütörtökön javították, de azt is kijelentik, hogy Shreateh megsértette mind a felhasználási feltételeket, mind az etikus hackelés alapszabályát.

Azóta történt

  • Új funkció a Facebookon: fotóalbumok megosztása

    A felhasználók közösen hozhatnak létre, menedzselhetnek a korábbinál lényegesen nagyobb fotógyűjteményeket.

  • Soványka átláthatósági jelentést adott ki a Facebook

    A magyar kormányzati kérések mintegy harmadát teljesítették, de azt nem tudni, hogy ezeket büntető- vagy nemzetbiztonsági ügyek kapcsán nyújtották be.

Előzmények