Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Liczysz na nagrodę za znalezienie luki na Facebooku? Postaraj się nie zdenerwować Zuckerberga

19-08-2013, 15:35

Demonstracja działania luki na osi czasu założyciela Facebooka to nie najlepszy pomysł - przekonał się o tym ostatnio Khalil Shreateh z Palestyny. Tylko co innego mógł zrobić, skoro pracownicy działu bezpieczeństwa nie potraktowali go poważnie?

konto firmowe

reklama


O nieefektywnych próbach dogadania się z Facebookiem można przeczytać na blogu Khalila (a po polsku m.in. w Niebezpieczniku). Znaleziona przez niego luka umożliwiała publikację postów na osi czasu dowolnego użytkownika - bez jego zgody i niezależnie od ustawień prywatności. Informację o błędzie Palestyńczyk przesłał pracownikom działu bezpieczeństwa, licząc na to, że w ramach programu Bug Bounty otrzyma w nagrodę minimum 500 dolarów.

Zgłoszenie zawierało link do profilu, na którym Khalil Shreateh opublikował swój post w celu zademonstrowania świeżo odkrytej luki. Palestyńczyk nie podał jednak szczegółów technicznych pozwalających na odtworzenie błędu (teraz wiemy, że chodziło prawdopodobnie o brak walidacji parametru ID po stronie serwera). Osoba przyjmująca zgłoszenie nie mogła zobaczyć wspomnianego posta, o czym poinformowała Khalila. Ten - zamiast dokładniej opisać lukę - stwierdził tylko, że posta nie widać, bo nie pozwalają na to ustawienia prywatności „ofiary”. W odpowiedzi przeczytał, że... błędu nie ma.

W takiej sytuacji Khalil postanowił poinformować o luce samego Marka Zuckerberga, umieszczając swoje zgłoszenie na osi czasu założyciela Facebooka - zob. zrzut ekranu poniżej (klikając, można go powiększyć).

Post Khalila Shreateha na osi czasu Marka Zuckerberga

Pełna treść postu Khalila
fot. Khalil Shreateh - Pełna treść postu Khalila
Po prawej stronie zainteresowani znajdą pełną treść postu Khalila. Tym razem reakcja była błyskawiczna - Palestyńczyk otrzymał prośbę o przesłanie opisu luki na wskazany adres e-mail, zaraz potem na jakiś czas zablokowano mu konto. Błąd oczywiście naprawiono (z umieszczonego poniżej filmu możecie się dowiedzieć trochę więcej szczegółów na temat luki). Facebook odmówił jednak wypłacenia Khalilowi nagrody.

Dlaczego? Jako powód podano naruszenie zasad programu Bug Bounty. Chodzi przede wszystkim o użycie do demonstracji błędu kont realnych użytkowników serwisu, którzy nie wyrazili na to zgody - Facebook oczekuje, że odkrywcy luk będą w tym celu wykorzystywać konta testowe. Trzeba jednak przyznać, że dział bezpieczeństwa Facebooka również dał plamę, nie dopytując się o szczegóły po otrzymaniu pierwszego zgłoszenia od Khalila.

Czytaj także: Uwaga na wtyczki do Chrome i Firefoksa podsuwane na Facebooku


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *