22:07
22/8/2013

Ale nie z programu bug bounty Facebooka, a …z kampani crowdsourcingowej. Zebrano już ponad 12 000 dolarów (założony cel: 10 000). Piękny policzek wymierzony w Facebooka, choć Facebook przyznaje, że nie jest bez winy i mógł inaczej obsłużyć zgłoszenie Khalila. W “kłopoty” jednak Khalil wpędził się na własne życzenie, nie trzymając się zasad programu bug-bounty i demonstrując podatność na koncie prawdziwego użytkownika.

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

22 komentarzy

Dodaj komentarz
  1. Palestyńczyk opisuje średnio szkodliwego buga nie umiejąc zrobić tego poprawnie po angielsku i jest zignorowany, po czym zachowuje się jak mała dziewczynka krzycząca żeby tylko zwrócono na nią uwagę – dajmy mu $10000. Trzymajcie mnie.

    • Ano w takim swiecie zyjemy…

      Pozdrawiam.

      Andrzej

    • > Średnio szkodliwego buga
      No na pewno wysyłanie spamu nieznajomym na tablicę wcale nie jest takie szkodliwe…

    • @ pikus… Na jednej szali wysylanie spam na drugie mozliwosc przejecia konta uzytkownika (cos jak firesheep zanim wprowadzono https by default…)… Ktore z nich wydaje Ci sie krytyczne a ktore zaledwie srednio szkodliwe?

      Pozdrawiam.

      Andrzej

    • Ech.. To poprzednie mialo byc @siper… ;). Tzw. brain fart.

      Pozdrawiam.

      Andrzej

    • (h)a(ck)ttention whore ;)

    • Żyd deklaruje g. pieniądze za dziurę mogącą zapitolić miliard użytkowników spamem i podszytą treścią wartą majątek na czarnym rynku, po czym zachowuje się jak mała dziewczynka i informuje że to nie jest bug po czym z niebuga robi bug, nie wypłaca g-ych groszy, robi z własnego researchera idiotę a z firmy ofiarę losu.
      Dajmy mu za to za kilka miliardów zwolnień podatkowych i parę melonów bonusu za hotline do NSA.
      Trzymajcie mnie.

  2. > Średnio szkodliwego buga

    Jasne, srednio szkodliwego.. Dziwie sie, ze ten Palestynczyk nie sprzedal tej informacji spamerom. Kasa z programu bug bounty to grosze w porownaniu z tym ile taki bug jest warty dla zawodowych spamerow.

    • Tygodniówka w angielskiej fabryce, za odkrycie buga na facebooku – żałosne.
      Gdybym coś odkrył to na pewno bym się nie zgłosił z tym do FB ;)

  3. Srednio szkodliwy bug ? – prosze – trzymajcie mnie…
    Nie mozna tego stawiac rowniez na szali miedzy przejeciem konta a opisywanym bugiem – to inne wymiary problemu.
    Proste zalozenie – wyobrazmy sobie, iz ow Palestynczyk faktycznie zachowalby sie jak mala dziewczynka i po olaniu go zaczal kombinowac jak mozna ow blad wykorzystac. Umiejetnie napisany skrypt, dajacy mozliwosc targetowania wysylanych tresci i ow Palestynczyk staje sie bardzo bogaty, a niektore osoby dostaja na tablice reklame np medykamentow. Duza czesc spoleczenstwa FB jest na tyle nieobeznana z zasadami panujacymi, ze nawet jesli wylapia ze co jakis np jeden miesiac pojawia sie im wpis reklamowy uzna to za reklame sponsorowana – ba – taki spam mozna podpisac jako reklama sponsorowana, wtedy wspolczynnik olania przez ludzi bedzie jeszcze wiekszy.
    Zanim ludzie by sie polapali $$$ z reklam medykamentow (chyba obecnie najbardziej dochodowy spam) ustawily by emeryture tego Pekinstanczyka na niebagatelnym poziomie. Dochodzi jeszcze do tego fakt, ze sam czas potrzebny analitykom do zlokalizowania tego buga dalby dodatkowe, duze wynagrodzenie dla “malej Pekistanskiej dziewczynki”.

    • Użyłem sformułowania średnio szkodliwy bo wydaje mi się, że gorszy jest spam w stylu “wypadek w , na zawsze w naszych sercach [*], kliknij”. A w Twoim założeniu ten pan raczej nie zachowuje się jak mała dziewczynka ;)
      Mi chodzi głównie o to, że programy bug bounty mają swoje zasady, on je złamał. Załóżmy, że potem taka sama sytuacja będzie miała miejsce, dajmy na to, w Google Wallet. I co, pentester zabierze komuś z Google 1000 dolarów żeby ktoś zwrócił uwagę na problem?

    • Trochę przesadzasz z możliwością wykorzystania tego błędu przez spamerów – Facebook by się po kilku godzinach takiego spamowania zorientował, że ma jakiś błąd i zapewne szybko go załatał (inna sprawa, że smród by się wtedy mocno rozszedł).

  4. Loża zazdrości :f

  5. Koleś został potraktowany jak gówno dlatego, że nie znał perfect angielskiego. Pracownicy Facebooka sami złamali zasady.

    • O ile pamiętam, to nie pracownicy facebooka zaczeli od testów na jakimś przypadkowym koncie w serwisie.

    • Dostali zgłoszenie, nie zweryfikowali go wystarczająco dokładnie. W ostateczności mogliby nawet znaleźć tłumacza…

    • Koleś znalazł buga. Nie opisał go wystarczająco dokładnie. W ostateczności mógł znaleźć tłumacza.

      A teraz tylko ciut poważniej:
      W takich programach na jeden dobry raport przypada 3-5 złych, a cała liczba raportów leci w dziesiątki dziennie. Owszem, trochę dali dupy, ale koleś zamiast odgrywać drama queen powinien też lepiej opisać i wysłać po raz drugi.

    • Koleś to teraz powinien czekać na cycatą tłumaczkę wysłaną od Sierioży, bo z tego co mówi to zawalili mu skrzynkę propozycjami z blackmarketu za podejrzewam kasę z jednym zerem więcej. Dział IT sec naraził researchera na obciach (powiedzieli że to nie bug), klientów na niebezpieczeństwo i spam, udziałowców na straty, a firmę na utratę wizerunku i wiarygodności u whitehatów.

  6. Witam, ja zauważyłem pewną ciekawostkę, a mianowicie: kiedy usuwam konwersację w aplikacji facebook na androida i wyloguje się, a następnie zaloguję z komputera na stronę facebooka wszystka konwersacja na ich serwerze jest. Tak samo w drugą stronę. Po usunięciu konwersacji poprzez komputer wylogowaniu się i zalogowaniu na androidzie wszystko jest. Ciekawe co?

    • To co usuniesz z Facebooka to zniknie tylko na niby, wszystko i tak jest trzymane na ich serwerach ;)

  7. Po dzisiejszej aktualizacji aplikacji facebook na androida oznajmiam, że po skasowaniu konwersacji wszystko działa jak powinno.
    Avinek masz rację, że gdzieś tam u nich jest co się pisze na czacie. Ważne, że nie w moim komputerku i telefoniku ;)

  8. […] bezpieczeństwa Facebooka koniec końców dostał nagrodę pieniężną — nie od Facebooka a od internautów. Najwyraźniej im nie przeszkadzało, że Palestyńczyk złamał regulamin programu bug […]

Odpowiadasz na komentarz WiktorC80

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: