Тайванський хакер пригрозив онлайн зламати сторінку Цукерберга в Facebook, але пізніше відмовився від цього плану

Передмова: цікава ситуація була створена багхантером Чі Чан-юань (Chang Chi-yuan) з Тайваню. Фактично, він зміг в достатньо короткий час звернути на себе увагу керівництва Facebook

Тайванський хакер Чі Чан-юань спочатку повідомив, що збирається видалити сторінку Марка Цукерберга з Facebook у прямому ефірі у самому ж Facebook.

За даними ресурсу Bloomberg, пряме включення має розпочатися 30 вересня, о 18:00 за місцевим часом (13:00 за московським часом).

Посилання на трансляцію була розміщена тут.

Після даної публікації посилання і появи в технічних розділах новинних видань в самому Facebook такий виклик тайванського хакера ніяк не прокоментували.

Проте, через декілька годин після цієї заяви, Чі Чан-юань відкликав свої погрози злому (September 28, 2018, 7:44 AM GMT+5 Updated on September 28, 2018, 7:41 PM GMT+5).

«Я скасовую трансляцію, так як повідомив  Facebook і продемонструю докази його наявності громадськості, коли отримую нагороду за його виявлення від Facebook», — написав Чан.

У пості на своїй сторінці ввечері в пятицу Чанг написав, що скасовує раніше анонсовану онлайн атаку на сторінку головного виконавчого директора Facebook, щоб уникнути непотрібних неприємностей.

«… я не повинен намагатися проявити себе, граючи з обліковим записом Цукау», — написав він.

Так само Чан виклав відео про уразливість.

Коментарі Чана про відеоFound a loophole that can delete the arbitrary user sticker
But it’s not like before. Can delete other type of stickers

The scope of this time is limited.
The impact is only the event record when updating profile
Although the event record is public
But not directly in FB

This loophole can record the event of a account
Open with b account number
B account number can also click the delete button directly on the interface
Delete the event record of a

Deleted content only public event record

Can’t delete if change id to other post

又發現了一個可以刪除任意使用者貼文的漏洞了
不過這次不像之前一樣能刪除其他類型的貼文

這次的範圍很有限
影響範圍只有更新個人資料時的活動紀錄
雖然活動紀錄是公開的
可是不會直接出現在FB中

這次的漏洞能將A帳號的活動紀錄
用B帳號打開來看
B帳號也能直接在介面上點擊刪除按鈕
把A的活動紀錄刪除

刪除的內容只限公開的活動紀錄

如果把ID改成其他貼文內容就無法刪除

Опубліковано 張啟元 Понеділок, 17 вересня 2018 р.

P. S.: За 12 годин все вирішилося після першої публікації про початок трансляції, а потім стався відмова хакера в діях.
Тобто розібралися з проблемою і зрозуміли, що Чан що знайшов дійсно, чи просто вирішили його «заглушити» пряником, не доводячи до трансляції.
Хоча дуже спірна ситуація. Адже програма баг-баунті працює в Facebook і хакер міг там відразу повідомити про знайдену проблему, а не анансировать і привертати увагу такими діями з трансляцією…