Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
2017 году независимый ИБ-специалист помог устранить ошибки, раскрывающие конфиденциальные данные пользователей.
Эксперт по веб-безопасности Йосип Франькович (Josip Franjkovi?) помог социальной сети Facebook устранить серьезные бреши в официальном Android-приложении. Уязвимости, которые специалист обнаружил в 2017 году, позволяли злоумышленникам увидеть закрытый список друзей и фрагменты пользовательских платежных данных.
Обе проблемы были связаны с открытым языком GraphQL, созданным Facebook для обработки информации в своих мобильных приложениях.
В первом случае Франькович смог обмануть проверочный механизм базы данных, который, по задумке разработчиков, должен отсеивать запросы вне белого списка. Эксперт изменил один параметр в команде на предоставление информации и получил публичные и приватные данные о пользователе, включая скрытый список друзей.
Вторая уязвимость позволила Франьковичу увидеть значительную часть сведений о банковской карте, которую участники соцсети привязывают к своему аккаунту для оплаты рекламы. В частности, исследователь смог узнать тип карты, банк-эмитент, 10 из 12 цифр номера, срок действия, имя владельца (без фамилии), индекс и страну выпуска.
Все уязвимости были устранены еще в 2017 году. При этом ошибку с раскрытием платежных данных разработчики Facebook исправили буквально за 4 часа — по словам эксперта, с такой быстрой реакцией он не сталкивался ни разу за всю свою карьеру багхантера.
В обоих случаях Франькович взаимодействовал с соцсетью через ее программу отлова ошибок. Размер награды, которую он получил за свой труд, не раскрывается. Однако ранее компания Facebook уточняла, что в общей сложности в 2017 году заплатила багхантерам почти 900 тыс. долларов. Самое значительное вознаграждение в истории соцсети — 40 тыс. долларов — получил российский программист Андрей Леонов, который в ноябре 2016 года обнаружил способ внедрения кода через функцию «Поделиться изображением».
Компания Facebook совместно с Microsoft и другими технологическими гигантами объявила награду за уязвимости, которые будут найдены в базовых инфраструктурных библиотеках и открытых языках программирования, в 2013 году. Программа под названием Internet Bug Bounty призвана повысить общий уровень безопасности в Сети и мотивировать хакеров публиковать обнаруженные ошибки вместо того, чтобы использовать их.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |