Hacker om dusør: Enklere enn dette blir det ikke

Studenten sikret seg nok en utbetaling.

Lukrativ hobby: Josip Franjković tjener godt på å avdekke sikkerhetshull, penger som kommer godt med som student. Her fra et intervju med kroatisk tv i 2013. (Faksimile fra Youtube)
Lukrativ hobby: Josip Franjković tjener godt på å avdekke sikkerhetshull, penger som kommer godt med som student. Her fra et intervju med kroatisk tv i 2013. (Faksimile fra Youtube)
13. juli 2015 - 14:15

Den kroatiske informatikkstudenten Josip Franjković liker å avdekke sårbarheter i kjente nettjenester. Eller å knekke nettsteder, som han skriver på twitterprofilen sin.

Avsløringene skjer på forsvarlig vis. Nettstedene får vite om hullene og tid til å tette dem, før den selverklærte hackeren avslører sine funn for verden.

Dette er såkalt whitehat hacking, en praksis selskapene vet å sette pris på, oppmuntrer til og deler ut pengepremier for.

Josip figurerer fra tidligere både på Googles Hall of Fame og whitehat-oversikten til Facebook, som en ekstra takk for innsatsen.

Så du denne? Nå gir også flyselskap dusør til hackere

Hentet ut vennelister

I dag røper han sine to nyeste avsløringer, også det feil funnet i Facebook. Denne gangen var jobben og dusøren det gav ham av den enkleste sorten.

- Dette er de enkleste dusørene for avdekking av sårbarheter jeg noen gang har vunnet, skriver informatikkstudenten i et blogginnlegg.

Begge feilene gjorde det mulig å hente ut store mengder personopplysninger ved å endre litt på URL-ene i Facebooks mobilutgave.

Å simpelthen endre brukernavnet i nettadressen (under m.facebook.com) var nok til å ramse opp samtlige venner en brukerkonto hadde knyttet til seg gjennom et helt år.

På samme vis kunne kan man få ramset opp hvilken person en brukerkonto sine bilder er oftest tagget opp sammen med.

Begge URL-hack som fungerte helt uten å ta hensyn til vedkommende kontos personverninnstillinger.

Samlet ga dette en dusør fra Facebook på 5.500 dollar eller drøyt 44.000 kroner. Dette kommer i tillegg til en rekke andre sårbarheter han tidligere har rapportert inn og blitt rikelig belønnet for.

Franjković opplyser at sårbarhetene ble innrapportert i slutten av april. Ifølge ham svarte Facebook anerkjennende at funnene hans var gyldige samme dag, og mindre enn 16 timer senere var de lukket.

Kroaten fikk omtale på Rochester Institute of Technology (RIT), det amerikanske teknologiuniversitetet i Zagreb allerede som førsteårsstudent tilbake i 2013. Han er også tidligere intervjuet på kroatisk tv.

Les også: BankID bruker forlatt kryptobibliotek

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.