Хакер Халиль Шритех обнаружил уязвимость в Facebook, которая позволила ему публиковать записи на стенах любых пользователей, даже если они не являются его друзьями, передает CNews.

Шритех разместил пробный пост (ссылку на видеоклип) на странице пользовательницы Сары Гудин, учившейся в одном колледже с основателем Facebook Марком Цукербергом, и рассказал об этом службе Whitehat, занимающейся приемом сообщений об ошибках в Facebook.

Хакер сообщил, что найденный им баг позволяет публиковать записи на страницах любых пользователей. После чего он привел ссылку на свой пост на странице Сары Гудин. Копию письма он разместил в своем персональном блоге.

Служба Whitehat ответила, что не может открыть ссылку и что найденный Шритех баг вовсе не является багом. После этого хакер попытался объяснить службе, что они не могут открыть ссылку, потому что Гудин закрыла свою страницу, но сам он может получить доступ, потому что является автором поста. В Facebook проигнорировали это объяснение.

После этого Шритех разместил пост на странице Марка Цукерберга, который стал виден всем. В нем он написал, что дважды связывался со службой Whitehat, пытаясь рассказать о найденной уязвимости, но они не обратили на него внимания. Он попросил Цукерберга принять меры, извинившись за то, что ему пришлось побеспокоить его таким образом.

Через минуту аккаунт хакера на Facebook был заблокирован. Администрация социальной сети не объяснила причину блокировки, но в письме, которое получил хакер, было сказано, что данная мера является «превентивной», и что администрация Facebook может блокировать любой аккаунт без объяснения причин.

Позже уязвимость была устранена, о чем разработчики Facebook сообщили на специальном сайте. Они рассказали, что Шритех изначально не рассказал им, как воспроизвести баг, а это необходимо делать при сообщении об ошибках, согласно официальным правилам.

Шритех в одном из писем службе Whitehat прямым текстом спросил, сколько он может получить за свою находку. По правилам Facebook, минимальное вознаграждение составляет $500, но чтобы его получить, сообщение об ошибке должно быть корректно составлено. В настоящее время Шритех является безработным, напротив этой информации в его блоге стоит грустный смайлик.

В комментариях в блоге хакера пользователи по большей части заняли сторону Facebook, пояснив, что Шритеху следовало составить уведомление по правилам. Они также указывают на грамматические ошибки, которые он допускает в своих сообщениях. Шритех ответил, что не удосуживается проверкой орфографии.