Liczysz na nagrodę za znalezienie luki na Facebooku? Postaraj się nie zdenerwować Zuckerberga

19-08-2013, 15:35

Demonstracja działania luki na osi czasu założyciela Facebooka to nie najlepszy pomysł - przekonał się o tym ostatnio Khalil Shreateh z Palestyny. Tylko co innego mógł zrobić, skoro pracownicy działu bezpieczeństwa nie potraktowali go poważnie?

O nieefektywnych próbach dogadania się z Facebookiem można przeczytać na blogu Khalila (a po polsku m.in. w Niebezpieczniku). Znaleziona przez niego luka umożliwiała publikację postów na osi czasu dowolnego użytkownika - bez jego zgody i niezależnie od ustawień prywatności. Informację o błędzie Palestyńczyk przesłał pracownikom działu bezpieczeństwa, licząc na to, że w ramach programu Bug Bounty otrzyma w nagrodę minimum 500 dolarów.

Zgłoszenie zawierało link do profilu, na którym Khalil Shreateh opublikował swój post w celu zademonstrowania świeżo odkrytej luki. Palestyńczyk nie podał jednak szczegółów technicznych pozwalających na odtworzenie błędu (teraz wiemy, że chodziło prawdopodobnie o brak walidacji parametru ID po stronie serwera). Osoba przyjmująca zgłoszenie nie mogła zobaczyć wspomnianego posta, o czym poinformowała Khalila. Ten - zamiast dokładniej opisać lukę - stwierdził tylko, że posta nie widać, bo nie pozwalają na to ustawienia prywatności „ofiary”. W odpowiedzi przeczytał, że... błędu nie ma.

W takiej sytuacji Khalil postanowił poinformować o luce samego Marka Zuckerberga, umieszczając swoje zgłoszenie na osi czasu założyciela Facebooka - zob. zrzut ekranu poniżej (klikając, można go powiększyć).

Post Khalila Shreateha na osi czasu Marka Zuckerberga

Pełna treść postu Khalila
fot. Khalil Shreateh - Pełna treść postu Khalila
Po prawej stronie zainteresowani znajdą pełną treść postu Khalila. Tym razem reakcja była błyskawiczna - Palestyńczyk otrzymał prośbę o przesłanie opisu luki na wskazany adres e-mail, zaraz potem na jakiś czas zablokowano mu konto. Błąd oczywiście naprawiono (z umieszczonego poniżej filmu możecie się dowiedzieć trochę więcej szczegółów na temat luki). Facebook odmówił jednak wypłacenia Khalilowi nagrody.

Dlaczego? Jako powód podano naruszenie zasad programu Bug Bounty. Chodzi przede wszystkim o użycie do demonstracji błędu kont realnych użytkowników serwisu, którzy nie wyrazili na to zgody - Facebook oczekuje, że odkrywcy luk będą w tym celu wykorzystywać konta testowe. Trzeba jednak przyznać, że dział bezpieczeństwa Facebooka również dał plamę, nie dopytując się o szczegóły po otrzymaniu pierwszego zgłoszenia od Khalila.

Czytaj także: Uwaga na wtyczki do Chrome i Firefoksa podsuwane na Facebooku


Przepisy na coś słodkiego z kremem Nutella
  
znajdź w serwisie

RSS  
RSS  

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Październik 2021»
PoWtŚrCzwPtSbNd
 123
45678910
11121314151617
18192021222324
25262728293031