Американец нашел в Instagram уязвимость "на миллион долларов"

Американский компьютерный эксперт нашел в социальной сети Instagram уязвимость, которая открыла практически полный доступ к сервису, включая личные данные пользователей.

​

Эксперт по безопасности компании Synack Уэсли Вайнберг (Wesley Weinberg) рассказал о своем участии в программе Bug Bounty от Facebook. Компания предлагала специалистам найти уязвимости в ее сервисах и получить за это денежное вознаграждение.

Вайбергу удалось найти «дыру», которая позволяла удаленно выполнить код, через способ обработки cookies-файлов пользователей. С помощью этой уязвимости исследователь получил базу с данными сотрудников Instagram и Facebook для входа в систему. Хотя большинство паролей было зашифровано, он взломал «дюжину» самых слабых за несколько минут.

В результате Вайнберг остановился в шаге от практически полного доступа к Instagram, включая исходный код, SSL-сертификаты, API, изображения пользователей и другие «чувствительные» данные. «Если бы я вышел за рамки, я мог бы получить доступ к изображениям и данным любого пользователя», — написал хакер в своем блоге.

​

Специалист рассказал об этом службе безопасности Facebook. Однако компания осталась недовольна тем, что Вайнберг получил настолько полный доступ. Вайнберг утверждает, что его начальник получил звонок с угрозой от работников соцсети, а самому специалисту пригрозили судом.

Алекс Стамос (Alex Stamos), глава подразделения, занимающего безопасностью в Facebook, ответил на жалобы Вайнберга на своей странице в соцсети. По словам Стамоса, Вайнберг был не единственным, кто заметил эту уязвимость, поэтому компания пообещала выплатить ему 2500 долларов, а не миллион, которого по утверждению Вайнберга стоил этот баг. К тому же хакер использовал доступ к данным, что нельзя назвать законным или этичным.

Работник Facebook сказал, что не угрожал Вайнбергу судебным разбирательством, а намекал на так, что его поведение того может «иметь плохие последствия». К тому же поощрение тех, кто ищет баги, но заходит за границы необходимого, по мнению Стамоса, может создать прецедент, который создаст риск для будущих исследований безопасности.