Háromezer dollárt kapott a diák a sebezhetőség jelentéséért

Hirdetés

Ilja Glebov, egy 17 éves, a murmanszki régió Moncsegorszk városában élő középiskolás jelentős összeggel gyarapította (egyelőre még anyja által gondozott) megtakarítását, melyet az egyetemi tanulmányainak idejére tett félre: a népszerű orosz közösségi oldal, a VKontakte 2000, az üzenetküldőt üzemeltető ICQ pedig 1000 dollárral jutalmazta azért, mivel egy komoly sebezhetőséget fedezett fel a VKontakte, illetve az ICQ rendszerében.

Ilja Glebov
[+]

Egy nagyinterjúja szerint fiú számítástechnikából készült vizsgára, és eközben olvasott egy márciusban napvilágra került sebezhetőségről, melyet a Facebook rendszerében találtak. E hibát a neves indiai hibavadász, Anand Prakash fedezte fel, és a biztonsági rés lehetővé tette számára, hogy felhasználói közreműködés nélkül belépjen mások Facebook-fiókjába, és ott teljes hatókörű admin jogot szerezzen. A szakember jelentette a hibát a Facebooknak, akik gyorsan javították, és Prakashnak a bug bounty program keretében 15 ezer dollárt fizettek a különösen súlyos hiányosság jelzéséért.

Ilja Glebov érdeklődését felkeltette a tudósítás, és az jutott eszébe, hogy leteszteli a VKontakte rendszerét, hogy vajon ott a feltárt sebezhetőség megtalálható-e. Alig négy órán át tartó vizsgálatának eredménye az lett, hogy felfedezte: a hibát kihasználva itt is beléphetnek illetéktelenek a fiókokba – kivéve, ha a fióktulajdonos kétfaktoros azonosítást használ.

Ezek után a sebezhetőségről a HackerOne weboldalon számolt be. Nem sokkal később az ICQ üzenetküldőben találta meg ugyanezt a hibát – mindkét szolgáltatás üzemeltetője és fejlesztője a Mail.Ru Group vállalat. Miután ez is napvilágot látott, az érintett cégek a fentebb említett összeggel jutalmazták a fiatal „hackert”.

Glebov elmondása szerint a VKontakte a jelzés után 24 órán belül javította a hibát.

Hirdetés

Azóta történt

Előzmények