Журналиста арестовали за сообщение о демонстрации уязвимости Facebook

20.05.2011

Бен Грубб, журналист, написал короткое сообщение в Twitter после его ареста: "Я был арестован квислендской полицией из-за истории, которую я написал сегодня. Они также изъяли мой iPad". Позже другие присутствующие на конференции сообщили, что Грубба освободили, и он вернулся на конференцию.

Его допрос относится, по всей видимости, к истории, в которой он детально описал уязвимость Facebook, найденную независимым исследователем безопасности Кристианом Хайнрихом. Хайнрих получил доступ к приватным фотографиям жены директора HackLabs Криса Гэтфорда.

Грубб, написавший статью для Sydney Morning Herald, сообщил, что в презентации Хайнриха заявлено, что его атака была совершена не непосредственно через Facebook, а через сеть доставки контента (CDN), которую Facebook использует для улучшения функционирования. Уязвимость возникает из-за возможности предугадать URL, что часто неправильно воспринимаемой как "взлом". В случае Хайнриха сложность состояла в угадывании URL, который CDN определяет для защищенных фотографий.

В данной ситуации он скомбинировал ID друга на Facebook с подобранной строкой. Для осуществления брутфорса, по словам Хайнриха, ему пришлось перебрать 200 000 комбинаций и потратить около 7 дней.

Источник: http://www.xakep.ru/post/55703/