19

Dziesięciolatek wykrył lukę w Instagramie i zgarnął 10 tysięcy dolarów. Według regulaminu nie mógł mieć tam konta…

Bardzo młody wiek chłopaka nie przeszkodził mu w znalezieniu luki w usłudze, która nie zezwala dzieciom poniżej 13 roku życia posiadać tam konta. Jako, że chłopak lukę odkrył, zachował się honorowo i powiadomił o tym włodarzy Instagrama (Facebooka), usługodawca również postąpił honorowo i wypłacił należne pieniądze przewidziane w programie bug-bounty. Jak tego dokonał? Kim jest ten chłopak? I czy łatwo znaleźć podatność w takiej usłudze?

Jedno jest pewne – dziesięciolatek zna się na rzeczy

Jani (o nim mowa w tekście) pochodzący z Finlandii ma na swoim koncie kilka pomniejszych sukcesów. Już wcześniej interesował się względami bezpieczeństwa i zdołał wykryć luki w innych aplikacjach, jednak nie otrzymał dotychczas żadnych nagród z tego tytułu. W przypadku Instagrama było inaczej – luka była na tyle poważna, że „załapał się” do programu wykrywania błędów Facebooka i przyznano mu czek w wysokości 10 tysięcy dolarów.

Sama luka pozwalała na usuwanie dowolnego komentarza dowolnego użytkownika platformy społecznościowej. Za pomocą odpowiedniego kodu wklejonego do pola tekstowego komentarza mógł zarządzać innymi wpisami uczestników konwersacji. Informacje na temat luki przekazał pomocy technicznej, która po kilku dniach poinformowała go, że zagrożenie zostało zneutralizowane, a on otrzyma przewidzianą w programie bug-bounty nagrodę. Chłopiec poza tym tworzy własne gry i interesuje się szeroko pojętym programowaniem.

dziesięciolatek

Facebook zachował się dużo bardziej honorowo od PayPala. Właściciel usługi płatności online odmówił wypłaty nagrody nastolatkowi

Sprawa była głośna 3 lata temu, gdy okazało się, że 17-latek wykrył bardzo poważny błąd w usłudze. 17-letni ówcześnie uczeń z Niemiec wykazał podatność, lecz odmówiono mu wypłaty należnych pieniędzy pomimo braku zapisu, który dyskwalifikowałby go z programu bug-bounty. Ponadto, PayPal owiany jest wśród „łowców błędów” złą sławą – wielokrotnie wymigiwał się od wypłacania nagród oznajmiając, iż „podatność już wcześniej wykrył ktoś inny”, albo, że „subdomena PayPala nie zalicza się do programu bug-bounty”. Ta informacja wywołała burzę w Internecie i skutecznie odstraszyła kolejnych łowców od szukania dziur akurat w PayPalu.

Programy, w których zdolni ludzie zajmujący się oprogramowaniem mogą zgłaszać znalezione przez siebie błędy są świetną inicjatywą. Firma stojąca za daną usługą może czasami nie dostrzec bardzo prostej podatności, tym samym wystawiając się na cyberzagrożenia. Młodzi adepci cyberbezpieczeństwa zaś mogą się sprawdzić i czeka ich za to sowita nagroda. Do tej pory Facebook w programie bug-bounty wypłacił nagrody w sumie ponad 4,5 miliona dolarów. To naprawdę sporo, biorąc pod uwagę, że każdy błąd kwalifikujący się do przyznania gratyfikacji jest wart 10 tysięcy dolarów. Dziesięciolatek z Finlandii udowodnił dwie rzeczy – takie programy działają i są potrzebne i… Facebook potrafi się zachować honorowo. Kto na tym zyskuje? Wszyscy.

Grafika: 1, 2