Król jest nagi, czyli włamanie na facebookowe konto Marka Zuckerberga
18.08.2013 18:00
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Khalil Shreateh odkrył w zabezpieczeniach Facebooka błąd, pozwalający na umieszczenie wpisów na cudzej osi czasu. Zgłoszenie takich błędów jest premiowane nagrodą w wysokości co najmniej 500 dolarów, ale tym razem zostało zignorowane. Jak zareagował Khalil? Postanowił poskarżyć się Markowi Zuckerbergowi i zrobił to tak, że reakcja Facebooka była natychmiastowa.
Khalil Shreateh odkrył w zabezpieczeniach Facebooka błąd, pozwalający na umieszczenie wpisów na cudzej osi czasu. Zgłoszenie takich błędów jest premiowane nagrodą w wysokości co najmniej 500 dolarów, ale tym razem zostało zignorowane. Jak zareagował Khalil? Postanowił poskarżyć się Markowi Zuckerbergowi i zrobił to tak, że reakcja Facebooka była natychmiastowa.
Do niedawna mogło się wydawać, że wdrożony przez Facebooka program Bug Bounty stanowi niezłą odpowiedź na wyzwania, związane z bezpieczeństwem i lukami w serwisie. Facebook, podobnie jak robi to m.in. Microsoft, postanowił bowiem płacić za zgłaszanie luk, związanych z bezpieczeństwem.
Kwoty przyznawanych nagród są różne – minimalnie można otrzymać 500 dolarów, a górnej granicy nie ma – wszystko zależy od wagi zgłoszonego problemu (szczegółowe informacje o Bug Bounty znajdziecie na tej stronie). Do grupy 329 uczciwych specjalistów (najmłodszy ma 13 lat!), którzy po wykryciu luki zamiast sprzedać ją na czarnym rynku zgłosili problem Facebookowi, postanowił dołączyć Palestyńczyk, Khalil Shreateh.
Odnaleziona przez niego luka wyglądała dość poważnie – Khalil znalazł sposób, by niezależnie od ustawień bezpieczeństwa i prywatności, opublikować dowolne treści na osi czasu dowolnego profilu. Jak przystało na uczciwego znalazcę, zgłosił problem do zespołu bezpieczeństwa Facebooka. Niestety, nie tylko nie otrzymał spodziewanej nagrody, ale po prostu został zignorowany.
Wynikało to z faktu, że Khalil niemal nie opisał swojego odkrycia – umieścił wiadomość na osi czasu osoby, która chodziła do szkoły z Markiem Zuckerbergiem, a następnie wysłał zgłoszenie o treści:
[cytat]my name is khalil shreateh.
i finished school with B.A degree in Infromation Systems .
i would like to report a bug in your main site (www.facebook.com) which i discovered it .
repro:
the bug allow facebook users to share links to other facebook users , i tested it on sarah.goodin wall and i got success post
Zgłoszenie, ze względu na brak szczegółów zostało jednak zignorowane. Khalil postanowił zatem poskarżyć się w sposób, który zmusiłby Facebooka do jakiejś reakcji – opisał swoje odkrycie na tablicy Marka Zuckerberga.
Na reakcję nie trzeba było długo czekać – nie minęło kilka minut, gdy najpierw skontaktował się z nim ktoś odpowiedzialny za bezpieczeństwo Facebooka, a po chwili konto Khalila zostało zablokowane.
Po wyjaśnieniu całej sprawy i usunięciu błędu odblokowano konto znalazcy. Niestety, Khalil, który jak widać na powyższym filmie upublicznił część informacji i opisał całą sprawę na swoim blogu może pożegnać się z nagrodą. Ze względu na naruszenie zasad (naruszenie prywatności i prowadzenie testów na koncie użytkownika, a nie specjalnie do tego przeznaczonych kontach testowych) nie spełnia już warunków, aby ją otrzymać.
Tym, co zwraca w całej sprawie uwagę jest nie tylko dość zabawny finał z opublikowaniem wiadomości na profilu Marka Zuckerberga, co początkowa reakcja Facebooka, który poważny i bezcenny dla spamerów błąd zaklasyfikował jako bezwartościowe zgłoszenie.