истории

Хакер нашел уязвимость в приложении Nametests для фейсбука — им пользуются десятки миллионов. Фейсбук потратил два месяца на ее устранение

Источник: Techcrunch

Бельгийский хакер Инти де Кукелере сообщил, что в апреле обнаружил крупную уязвимость в приложении для прохождения тестов в фейсбуке Nametests, которым пользуются десятки миллионов человек. По его словам, приложение получало доступ к личным данным пользователей и хранило их в таком виде, что «любая третья сторона могла их запросить». Для проверки своей гипотезы Кукелере создал сайт, который успешно смог получить через Nametests его же личные данные (в том числе, к примеру, фотографии) — причем даже после удаления приложения.

Видео Инти де Кукелере об уязвимости в Nametests

Inti De Ceukelaire

Кукелере утверждает, что занялся изучением уязвимостей после того, как Facebook на фоне утечки данных миллионов пользователей запустил программу поиска неправомерного использования данных за вознаграждение.

По словам хакера, он сообщил о своей находке в Facebook 22 апреля. 30-го ему ответили, что изучают информацию. В середине мая он снова написал в Facebook — и через неделю получил ответ, что на расследование проблемы потребуется от трех до шести месяцев.

25 июня Кукелере, по собственным словам, заметил, что Nametests изменили способ обработки данных, закрыв уязвимость. В самой компании ему заявили, что не знают о случаях ее использования. Хакер написал в Facebook об устранении уязвимости; ему ответили, что это произошло благодаря его обращению, и согласились по его просьбе перевести его вознаграждение (восемь тысяч долларов) организации Freedom of the Press Foundation.

Facebook подтвердил изданию Techcrunch, что после обращения участника программы была устранена уязвимость в приложении Nametests. В компании отказались ответить, почему это заняло так много времени, но указали, что получили первое сообщение от него не 22-го, а 27 апреля.

Magic link? Это волшебная ссылка: она открывает лайт-версию материала. Ее можно отправить тому, у кого «Медуза» заблокирована, — и все откроется! Будьте осторожны: «Медуза» в РФ — «нежелательная» организация. Не посылайте наши статьи людям, которым вы не доверяете.