12:24
18/8/2013

Pewien Palestyńczyk znalazł na Facebooku błąd, który umożliwiał umieszczanie postów na ścianie dowolnego użytkownika Facebooka, bez jego zgody i niezależnie od ustawień prywatności. Niestety problemy komunikacyjne spowodowały zignorowanie zgłoszenia podesłanego do zespołu bezpieczeństwa Facebooka, więc rozdrażniony odkrywca błędu postanowił poskarżyć się publicznie Markowi Zuckerbergowi …umieszczając pełnego żalu posta na jego profilu.

Zignorowali bo nie zrozumieli?

Kiedy Khalil odkrył błąd, natychmiast zgłosił go w ramach facebookowego programu Bug Bounty, który za odkryte przez użytkowników błędy bezpieczeństwa w Facebooku przyznaje nagrody pieniężne. Niestety opis odtworzenia błędu nie był zbyt przejrzysty:

my name is khalil shreateh.
i finished school with B.A degree in Infromation Systems .
i would like to report a bug in your main site (www.facebook.com) which i discovered it .
repro:
the bug allow facebook users to share links to other facebook users , i tested it on sarah.goodin wall and i got success post
link – > https://www.facebook.com/10151857333098885

Obsługujący zgłoszenie ze strony Facebooka nie byli w stanie zobaczyć posta pod wskazanym linkiem (nic dziwnego, skoro nie pozwalały na to ustawienia prywatności “ofiary”, które błąd pozwalał ominąć). Khalil w dalszej korespondencji z działem bezpieczeństwa Facebooka wskazał więc ustawienia prywatności jako przyczynę braku widzialności wrzuconego w sposób nieautoryzowany linka, ale w odpowiedzi uzyskał jedynie oschłe:

I am sorry this is not a bug.

Eskaluję to do Zucka!

To zmusiło Khalila do podjęcia bardziej radykalnych kroków w celu udowodnienia, że błąd rzeczywiście istnieje — postanowił poskarżyć się na ścianie Marka Zuckerberga wykorzystując w tym celu odkryty przez siebie błąd:

Facebook Khalil

Facebook Khalil

Pełna treść skargi Khalila na ścianie Zuckerberga

Pełna treść skargi Khalila na ścianie Zuckerberga

Te działania przyniosły efekty natychmiastowo — kilka minut po publikacji do Khalila odezwał się Ola Okelola, pracownik Faceboka, który porosił o przesłanie szczegółów podatności bezpośrednio na jego e-maila …a wkrótce potem błąd naprawiono, Khalilowi zablokowano na chwilę konto oraz odmówiono wypłaty nagrody z programu bug bounty, tłumacząc to naruszeniem zasad programu:

Dear Khalil,

Facebook disabled your account as a precaution. When we discovered your activity we did not fully know what was happening. Unfortunately your report to our Whitehat system did not have enough technical information for us to take action on it. We cannot respond to reports which do not contain enough detail to allow us to reproduce an issue. When you submit reports in the future, we ask you to please include enough detail to repeat your actions.

We are unfortunately not able to pay you for this vulnerability because your actions violated our Terms of Service. We do hope, however, that you continue to work with us to find vulnerabilities in the site.

We have now re-enabled your Facebook account.

Czy Khalil będzie w przyszłości współpracował z Facebookiem grając wedle jego zasad? Wątpliwe — już odgraża się, że kolejnego błędu nie zgłosi do Facebooka, a sprzeda na czarnym rynku.

Khalil dalej obrażony

Khalil dalej obrażony

W zasadzie naszego “researchera” już można podpytywać o kolejne 0-day’e — nie zamazał swojego e-maila na wszystkich screenshotach/cytatach.

Błędy po obu stronach?

Zadziwiające jest to, że osoba, która posiada zdolności pozwalające jej na odkrycie błędu przeoczonego przez wielu doświadczonych programistów wybiera najmniej rozsądną drogę, aby błąd ten ogłosić światu (tj. naruszającą regulamin demonstrację błędu na koncie realnych użytkowników). Dlatego nie dziwi nas to, że Facebook odmówił wypłaty bug bounty — raz, że w zgłoszeniu brakowało jasnych do zrozumienia kroków pozwalających odtworzyć błąd, dwa że błąd zaprezentowano nie na koncie testowym, a na koncie innego realnego użytkownika Facebooka.

Z drugiej jednak strony brak wyobraźni inżynierów Facebooka trochę zaskakuje, zwłaszcza że mają oni możliwość omijania restrykcji dotyczących prywatności, co przy odrobinie dobrych chęci pozwoliłoby im potwierdzić istnienie problemu… Mogli też dopytać o szczegóły — co sami przyznają niejako bijąc się w pierś post factum.

Jak jednak widać, nie tylko zabezpieczenia Facebooka mogą być przeszkodą do zdobycia nagrody w ramach bug bounty, ale również problemy komunikacyjne. Być może dla osób słabo władających językiem angielskim Facebook powinien umożliwić opcję zażądania kontaktu zwrotnego w wybranym języku?

PS. Dla cierpliwych: Khalil nagrał video z dodatkowymi informacjami dotyczącymi błędu:

W skrócie, brak prawidłowego mechanizmu kontroli dostępu do funkcji (brak walidacji parametru ID po stronie serwera).


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

59 komentarzy

Dodaj komentarz
  1. Wszystko fajnie, ale ten koleś zachował się jak 13 latek któremu rodzice nie pozwolili iść na impezę…. Rozumiem że FB powinien podejść do sprawy trochę inaczej, ale gość ma nierówno pod sufitem żeby w ten sposób załatwiać sprawę.

    • Z jednej strony masz rację. Ale z drugiej znów strony to ON odkrył dziurę, wieć w najlepszym interesie facebooka jest zrobić wokół tego dobry PR i załatwić sprawę polubownie. Choćby ze względu na dobry wizerunek w oczach innych szaleńców szukających dziur, którzy zniechęceni mogą chcieć swoje znaleziska sprzedać zamiast zgłosić.

    • nierowno pod sufiem? a co on takiego zrobil? skasowal komus konto? zablokowal dostep do calego fb?
      nie, jedynie dodal jeden glupi post na scianie kogos, rownie dobrze mogl to zrobic ktos z jego znajomych i nie bylo by sprawy.

    • A ja gościa rozumiem. Nie wiem, jaką kasę mógłby oficjalnie za znalezienie tego błędu dostać, ale może relatywnie niedużą (więc mu jej nie było szkoda), ale za to wybrał najbardziej medialną i spektakularną metodę pokazania działania znalezionego błędu.

    • Może ma te 13 lat? :D

    • Sory, ale wypowiadając się tak to chyba masz coś nie równo ….. raczej powinni wypłacić i nie robić szumu, jak sami naginają swoje zasady ….. to takie zachowanie jest rażące! Popatrz, że on mógł to sprzedać innej grupie, co za pewne będzie to robił i siedział pewnie specjalnie, wyszukując błędy ;) a FB straci nie kilka tysięcy tylko dużo więcej. Więc o czym ty mówisz?

  2. To nie chodzi o to, że nie dostarczył informacji czy że dostarczył ich za mało. Chodzi o to, że użył dziury na prawdziwych kontach innych użytkowników. Może Facebook mógłby mu podziękować, ale nie może to iść z programu White Hat. Nawet nad materialnym podziękowaniem bym się zastanawiał – to by tylko zachęciło innych do naruszania ToS. Bo po co mają się bawić w testowe konta, skoro wykorzystają prawdziwe konto, a i tak dostaną nagrodę?

    • No i co z tego? Czyż cel nie uświęca środków? Powinno dać mu kasę i zastrzec że łamanie ToS jest zabronione i następny taki czyn zostanie ukarany brakiem wypłaty. W tej chwili jest to zwykłe złodziejstwo.

  3. To facebook zachował się jak 13 latek. Oni zwyczajnie ukradli jego własność intelektualną jaką jest informacja o błędzie. Według mnie wszystkie informacje o błędach powinno się sprzedawać w necie bo jak widać firmy tego nie doceniają. Co z tego że złamał ToS skoro zrobił to w dobry celu i nie powodująć żadnych strat. Skoro za uczciwość nie jest się docenianym i opłacanym to chociaż za nieuczciwość ci zapłacą.

    • Dobrze pisze polać mu :)
      Mniejsze zło dla większego dobra i tyle.

    • Co z tego, że jadę 120 Km/h przez miasto, przecież robię to w dobrym celu pokazania, że można jechać tyle w terenie zabudowanym i warunki na drodze są ku temu sprzyjające?

      Skoro znajdę błąd, który pozwoli mi ‘dobrać się do całej(!) bazy danych’ i nie będę używać testowych kont to oczywiście mogę się podzielić ‘dumpem’ w całej sieci, przecież robię to dla innych, dla ich dobra … a jeszcze mi za to płacą ;) – przeco odkryłem dziurę.

    • @Skiter Jakoś nie doczytałem się by koleś wykorzystał tą
      informacje by uzyskać korzyści materialne na czarnym rynku. Po za
      tym o co ci w ogóle chodzi? Co ma udostępnienie skradzionej bazy
      danych w sieci do poinformowania firmy o błędzie w oprogramowaniu?
      Czy on napisał jak to zrobić? Nie, więc weź się zastanów o czym
      piszesz.

    • I dzięki takim akcjom w wykonaniu fejsbuka pewnego dnia zobaczymy, że ktoś tam robi włam. Czekajmy na to i szykujmy popcorn! :D

    • Popieram skitera. Zamiast postępować jak mentalny gimbus, po to masz regulamin zgłaszania błędów oraz minimum oleju w głowie aby opisać jak najdokładniej jakiś błąd aby, druga osoba mogła go zrozumieć i samemu sprawdzić. Ale widać niektórzy myślą ,że wszyscy są jasnowidzami i domyślą sę o co chodzi w zgłoszeniu na podstawie 3 ogólnikowych zdań. A gdy się nie domyślą to oni są złodziejami etc.
      Jestem ciekaw czy “Jolo” tak chętnie by wykrzykiwał swoje postulaty gdyby ktoś w Internecie udostępnił dane techniczne jak otworzyć zamek drzwi do jego domu. W końcu przecież ten ktoś zrobił to w dobrym celu aby Jolo sobie zmienił zamek :]

    • Kolejny.
      A gdzie jest napisane że ten gość udostępnił w necie sposób?

  4. Ja go rozumiem. Swego czasu zgłosiłem w ramach BB błąd, który pozwalał na wyciągnięcie przez API lajków osoby, która owe lajki miała poblokowane i były one niewidoczne. Usłyszałem, że to nie błąd. Do dziś można to zrobić ;)

    Wychodzi na to, że ekipa Fb nie traktuje błędów związanych z prywatnością dość poważnie, bo wiem, że inne błędy są naprawiane szybko i przyznawane są niezłe bounty.

    • Widoczenie dla nich to bez różnicy. Przecież i tak
      wszystkie dane z FB lecą płyną szerokim strumieniem do firm i
      agencji wywiadowczych.

    • A czy jak ściągniesz bazę “like-ów” i sprzedasz to będzie legalne? Bo skoro to nie błąd to jest to feature, a wykorzystywanie feature-ów jest chyba zgodne z prawem?

  5. …imho problem leżał jedynie w komunikacji. Zasygnalizowanie błędu powino skłonić ekipę FB do przeanalizowania i sprawdzenia podatności po swojej stronie. Jeśli mieli wątpliwości dotyczące szczegółów technicznych, mogli dopytać, zamiast informować, że nie jest to bug. Obie strony ‘poszły na skróty’ w kwestii wypracowania porozumienia, stąd niesatysfakcjonujący finał. Ciekawe tylko, czy będzie jakiś ciąg dalszy tej historii.

    • Wyobrażasz sobie jakiś? Błąd naprawiony, koleś przyblokowany na jakiś czas za łamanie TOS w ramach podziękowań.

      Sprawa zamknięta. Co najwyżej do chwili, gdy ten koleś odnajdzie kolejny, tym razem poważniejszy, błąd.

  6. @Maciek: podobnie jak bohater artykułu masz chyba problem z jasnym napisaniem o co ci chodzi – bo twojego opisu też nie idzie zrozumieć

  7. no powinni mu zaplacic o ile pamietam to zalozyciel face tez bez zgody i bezprawnie uzywal tysiecy zdjec do swojego skrypciku

  8. Zgłosiłem kiedyś wielu staffom trackerów (z softem: tbdev) błąd pozwalający wyciągnąć adres IP + numer ID + Login niemalże każdego użytkownika serwisu (w tym staffu)… Oczywiście na dowód że to działa mały kilkulinijkowy log z wynikiem.
    Na 2 stronach dostałem VIPa, na kilku nic (nawet odzewu), na kolejnych kilku (3-5) warna, a gdzieś na 10 stronach – banik i disable konta (całe szczęście że większość kont była zrobiona tylko aby sie dostać i przetestować).
    Czytając ten tekst nawet się nie zdziwiłem potraktowaniem haxora. Smutne.

  9. Błędy są WYŁĄCZNIE po stronie korporacji i dali tyłka w KAŻDYM aspekcie tej sprawy.
    Takie pazerne i bezduszne zachowania koncernów mszczą się okrutnie.
    Mogę postawić diament za zgrzewkę pepsi, że kwestią czasu jest kiedy inny błąd nie zostanie zgłoszony lecz niecnie wykorzystany powodując szkody a może nawet straty dla użytkowników.

    p.s.
    Pomijam już w ogóle żenująco niską kwotę niewypłaconej nagrody. Tam byle dupek na stołku dostaje więcej za sekundę pierdnięcia, więc jej pożałowanie to już… brak słów.

    • Na pewno tak będzie bo przecież sam FB się tego domaga skoro komuś kto znalazł błąd nie są nawet w stanie podziękować.

    • Nie zgodzę się z takim twierdzeniem ze to ICH wina. Dlaczego mam ‘zgadywać’ jak ktoś mi napisze: “Komputer mi się zawiesił, a tylko zainstalowałem wasz program …” , czyli co teraz mam swoją szklaną kule, i z niej wyciągam informacje jak:
      – Co to za komputer
      – Jaki system operacyjny
      – Posiada lub nie antywirusa
      – I masę innych zależności

      Jeżeli błąd zostanie ‘sprzedany’ i użyty to jest to przestępstwo, i nie ma co się czarować, zniszczył dane/wykorzystał do celów innych niż przewidziano/itp.

      Oddając informacje o błędzie w postaci czytelnej, nie tylko zarabiamy (co prawda w/g ciebie grosze), ale też zabezpieczamy (w przypadku FB), znajomych, rodzinę i innych Bogu ducha winnych ludzi.

      Wpis w CV, może być więcej wart niż przysłowiowe 500$, są ludzie którzy to robią bo lubią, ale też i tacy co na tym zarabiają – w taki czy inny sposób, jaki to sposób to już inny temat.

    • @skiter
      1. Do czego FB zatrudnia pracowników w odpowiednim dziale – czytających takie zgłoszenia?
      Do pierdzenia w stołki, plotkowania i smsowania czy do pracy polegającej na sprawdzaniu nadesłanych zgłoszeń?
      Jeżeli go nie zrozumieli to dali ciała. I tyle. Tu nie ma co gdybać, że błędy komunikacyjne. Im się po prostu NIE CHCIAŁO. Zwyczajnie olali zgłaszającego bo pewnie im tylko przeszkadzał w oglądaniu kotów na youtube.

      2. Jeżeli prowadzę serwis i ktoś mi zgłasza, że mam błąd i podaje choćby ogólną jego charakterystykę to w MOIM interesie jest, żeby wyjaśnić co i jak. A nie zbywać “to nie błąd. sprawa zamknięta”. Ach… no chyba, że się ma w pupie swoich użytkowników itd.

    • @Arnold Buzdygan
      Chyba, że dostajesz takich zgłoszeń kilkaset dziennie, z czego zdecydowana większość to faktycznie nie są błędy.
      Jakiś system odrzucania spamu musisz mieć, i jakiś % błędów się trafić musi.

  10. Zuckerberg jest żydem, a Khalil palestyńczykiem – i wszystko jasne

    • Nic nie jest jasne, bo nie każdy Żyd jest rasistą/nacjonalistą/ortodoksem religijnym, tak samo w wypadku Palestyńczyków/Muzułmanów ogólnie.

      Skąd wiem? Ano, żyję w multikulturalnej dzielnicy (niedaleko stoi meczet, jakkolwiek się ta żydowska świątynia nazywa, parę świątyń protestanckich i kościół), znam zarówno Muzułmanów jak i Żydów i nie ma żadnych niesnasek na tle religijnym czy jakimkolwiek innym.

      I nie, nie jestem Żydem ani Muzułmanem, jestem katolikiem (niepraktykującym, bo zwyczajnie czasu brak).

      Także proszę nie generalizować.

      Co do Khalila, to gościowi współczuję, no ale faktycznie wybrał najgorszy sposób na ogłoszenie błędu. Jeśli już miał robić full disclosure, to powinien wziąć znajomego lepiej się w “ingliszu” orientującego, napisać w swoim języku, dać koledze do przetłumaczenia i dać na jakiegoś bloga czy coś.

    • @SuperTux

      Odpowiednio:
      synagoga/świątynia – meczet – kościół/katedra/kaplica – cerkiew

    • “jestem katolikiem (niepraktykującym, bo zwyczajnie czasu brak).” Jestem sprinterem, ale nie biegam bo nie mam kiedy:(

  11. Czy zrobił gimbusiarsko? Nie wiem, olali go, więc miał jako-takie prawo przypalić im łapy.
    BB jest sposobem na zarobek, nie na cele charytatywne, jeżeli ktoś siedzi godzinami (a myślę, że Khali się namęczył by to znaleźć), i poczuł się spuszczony w kiblu, to jak najbardziej miał prawo. Po prostu zemsta za stracony czas, po mojemu słuszna.

    • I swoją drogą – to nie pierwszy bug FB związany z brakiem weryfikacji po stronie serwera… nie rozumiem, jak światowy gigant nie mógł w starej dziurze przy odzyskiwania hasła nie zweryfikować nr telefonu, a typowo pobrać go z HTML’a. Shame on FB

  12. ja się dopominam swego już 7 lat i niebawem też upublicznię jak mnie do Strasburga nie dopuszczą albo oleją nasze instancje . I będę z tego dumny .
    W sumie fakt mógł to pokazać na swoim koncie ale fikcyjnym na co też fajsbook zabrania otwartym z innego kompa,To co pierniczą żeś głupi boś biedny a biedny boś głupi ,też bym im pokazał podobnie ale jakiś humor ,żeby nie było szkody moralnej albo inszej. Siema.

    • co?

  13. Mnie tylko rozkłada że człowiek, który na tyle jest zaznajomiony z IT że potrafi znaleźć dziurę, ma język angielski (de facto oficjalny język internetu i świata) opanowany jedynie na tak kiepskim poziomie, że nie jest w stanie się komunikować :-P.

    • Pewnie od wtedy, od kiedy wszystkie wartościowe papierki i opisy technik pojawiają się bądź to wyłącznie, bądź też z dużym wyprzedzeniem po angielsku. Jeśli ktoś nie zna w przyzwoitym stopniu angielskiego to będzie całe lata do tyłu w temacie.

    • Co się stało moderacją? Nie pamiętam, żeby wcześniej wulgrane teksty ad personam przechodziły.

    • To że polacy chcą być bardziej angielscy od anglików nie tyczy się może innych narodowości? Ja go tam zrozumiałem i podejrzewam, że osoby których angielski jest językiem ojczystym również.

    • a być może akurat brak angielskiego i utartego spojrzenia w “oficjalnym” świecie, pozwoliło znaleźć podany bug, akurat geniusze rodzą się wszędzie niezależnie czy dany rejon preferuje język angielski

  14. Wszyscy specjaliści od zabezpieczeń w facebooku są inżynierami?

  15. Zabójcze ma te serduszka po każdym kliknięciu :D

  16. To dlatego żydzi się tak nie lubią z muzułmanami – oni po prostu nie umieją się dogadać XD

  17. Tylko wyłącznie takie “ukazanie” błędu jest w 100% skuteczne a reakcja jest natychmiastowa :)

  18. Nie zgodzę się, że wina jest po obu stronach. Ewidentnie
    wina leży po stronie Face Book’a, a dokładniej rzecz ujmując po
    stronie techników/inżynierów bezpieczeństwa, którzy powinni
    podchodzić z największą powagą do każdego zgłoszenia (nawet gdyby
    było ich 10000/dzień – za to im płacą). Wystarczyło napisać
    “Przepraszamy nie jesteśmy w stanie zweryfikować błędu – prosimy o
    bardziej szczegółowy opis, według przekazanych przez Pana
    informacji można zrobić …(to i to) dlatego udostępniamy Panu
    konto fikcyjne, na którym prosimy zaprezentować swój błąd).
    Niestety w moim odczuciu błąd Khalil’a raczej trafił na pierwsze
    sito, którym jest “infolinia”, na której pracuje zwykła Pani Zosia
    nie mająca zbyt wiele uprawnień do weryfikacji błędu.

  19. Hmm, trochę ten tytuł jak z onetu czy wp, a z treści notki już wynika coś innego….

  20. Powinien mu karnego “pisiora” wchrzanić…
    Nagrody by nie dostał ale przynajmniej satysfakcja by była :)

  21. Widzę, że sam Arni pod tym newsem troluje, cóż za zaszczyt dla nas maluczkich i ekipy Niebezpiecznika…

    IMHO wina leży w 100% po stronie zgłaszającego.

    1. Wiadomość Khalila brzmi i wygląda jak nieudolna próba scamu/wyludzenia napisana przez niezbyt lotnego dziesięciolatka. Do tego żadnych konkretów odnośnie natury samego błędu i sposobu jego reprodukcji. Facebook z pewnością dostaje cale tony takich ‘zgłoszeń’ dziennie – nic dziwnego ze poszło to od razu do śmietnika.

    2. Co do bounty – Facebook odmawia wypłaty nie tyle z powodu tego nieszczęsnego postu na profilu Zuckerberga, głownie rozchodzi się o to, że już na samym początku Khalil wykorzystał konto jakiejś randomowej(?) osoby (sarah.goodin) w celu ‘prezentacji’ buga. To jasny i oczywisty fail z jego strony.

    Ja wiem, że wielkie korporacje są be i fajnie się po nich jeździ, ale w tym wypadku to researcher popisał się wybitną, niczym nie usprawiedliwioną nieudolnością.

    • No właśnie miałem pytać ekipę niebezpiecznika – można zrobić RSS tylko z komentarzami wybranej osoby niezależnie od tematu posta? Zawsze szukam dobrego lolcontentu i takie rozwiązanie by mi uprościło życie :)

  22. ,,Zignorowali bo nie zrozumieli” ? Nie, zignorowali, jakby to każdy pejsaty żyd zignorował palestyńczyka. Polecam wycieczkę do Izraela/Palestyny. Wtedy wszystko się rozjaśni.

  23. Wg.Mnie koleś zrobił dobrze, kurczowe trzymanie się zasad nie zawsze daje rezultaty , a “mniejsze zło dla większego dobra” jak ktoś napisał,było doskonałym wyjściem z sytuacji, facebook został poinformowany o błędzie (który jak widać olali gdy trzymał się grzecznie zasad). Uważam że w przypadku takiego małego błędu miał pełne prawo użyć go by zwrócić uwagę Zuckerberga.

    • Żydzi są jednak genialni.
      Kapitalista zawalił – socjaliści zapłacą :D
      Prawie jak bailout tylko dobrowolny, ale równie albo i bardziej demoralizujący.
      Swoją drogą w świetle ostatnich doniesień Guardiana FB mówiący o poszanowaniu prywatności i bluzgający Palestyńczyka o łamanie jej zasad brzmi zgoła jak Franz Kafka.

  24. “Pewien Palestyńczyk” wiadomego pochodzenia znalazł bład w portalu Zuckerberga wiadomego pochodzenia i wynagrodzenia nie ma.

  25. […] nie jest bez winy i mógł inaczej obsłużyć zgłoszenie Khalila. W “kłopoty” jednak Khalil wpędził się na własne życzenie, nie trzymając się zasad programu bug-bounty i demonstrując podatność na koncie prawdziwego […]

  26. Panowie, jak czytam komentarze w stylu “zachował się jak dzieciak” to mam delikatnie mówiąc dość.
    Po pierwsze, FB to nie jest jakaś firemka Juzekwgarazu &co tylko spora spółka akcyjna i ma psi obowiązek (również przed udziałowcami) traktować poważnie swoich kontrahentów, w tym jednych z najważniejszych czyli whitehatów.
    Opisana sytuacja wygląda więc tak:
    Duża hurtownia budowlana zamawia 10 ton stali, kierowca targa się do nich 100 km załadowaną stalą ciężarówką, a oni przed wjazdem mówią że to nie jest stal tylko worek śmieci. Kierowca więc wysypuje całe cargo do smietniczki przed drzwiami firmy na oczach całego miasta zawalając cała recepcję z wielki hukiem.
    Firma robi larmo, dzwoni do ochroniarzy, gość wraca do domu z kwitkiem słusznie się odgrażając, stal ląduje za darmo w magazynie hurtowni a skandująca gawiedź wcinając popcorn ma ubaw po pachy, nadając gościowi od gówniarzy.

    Zwracam uwagę, że skoro oficjele firmy poinformowali oficjalnie człowieka, że TO NIE BUG, więc po pierwsze przyznali że go zrozumieli, a po drugie to co zrobił później zrobił legalnie, ponieważ konto testowe dotyczy dziur i błędów a nie FEATURE którego użył do podesłania wiadomości na ścianę Zuck’owi. Używanie feature’ów dostarczanych przez firmę nie jest niezgodne z regulaminem – z definicji. Być może rzeczywiście nie był to bug zważywszy jak FB traktuje prywatność i ktoś tej funkcji do czegoś używał ;)
    Firma zadziałała na własną szkodę, popsuła sobie PR, a długofalowo przyczyniła się do rozszerzenia się czarnego rynku działającego przeciwko niej. Pytanie czy udziałowcy i akcjonariusze FB, są z takiego załatwienia tej sprawy i jej konsekwencji zadowoleni.

  27. Macie małą literówkę w tekście: “który porosił”

  28. […] 17-latek utrzymuje, że był w stanie skasować dowolne konto na Facebooku, ale błąd odpowiedzialnie przetestował tylko i wyłącznie na kontach testowych należących do niego (zapewne mając w pamięci niedawne problemy Khalila z uzyskaniem nagrody od Facebooka, spowodowane tym, że Palestyńczyk zademonstrował błąd na koncie Marka Zuckerberga — pisaliśmy o tym w artykule “Wrzucił posta na ścianę Zuckerberga, bo zespół bezpieczeństwa Facebooka nie zrozumiał na czym…“). […]

Odpowiadasz na komentarz qw

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: