Bug-Meldung ignoriert: Finder postet auf Zuckerbergs Pinnwand

Facebook

Der palästinensische Hacker Khalil meldete Facebook einen Bug, der es erlaubt, an jeder erdenklichen Wall zu posten. Nachdem ihn Facebooks Security-Team ignorierte, bewies er das Vorhandensein der Sicherheitslücke - und postete an Mark Zuckerbergs Pinnwand höchstpersönlich.

Khalil erklärt auf seinem Blog, er habe Facebooks Sicherheits-Team eine vollständige Beschreibung des Bugs inklusive Beweis zukommen lassen. Finder von Sicherheitslücken können sich so einen Obolus von mindestens 500 Dollar verdienen. Nach einem weiteren Hinweis erhielt Khalil die Antwort „Es tut uns leid, aber dies ist kein Bug.“

Von den zuständigen Mitarbeitern nicht erhört, postete er an die Wall des Facebook CEOs: „First sorry for breaking your privacy and post to your wall , i has no other choice to make after all the reports i sent to Facebook team .“ Anschließend führte er die Situation mit den entsprechenden Links aus. Innerhalb weniger Minuten reagierte ein Mitarbeiter und kontaktierte Khalil, um nach weiteren Informationen zu fragen. Anschließend blockierte er seinen Account „als Vorsichtsmaßnahme“, während das Security-Team sich des Bugs annahm. Später wurde das Profil des Hackers wieder freigegeben.

Facebook erteilte seiner Entlohnung hingegen eine Absage, da der unerlaubte Zugriff auf Zuckerbergs Wall eine Verletzung der Facebook-Grundsätze bedeutete. Bugs auszunutzen, um die Konten von Nutzern zu beeinflussen sei inakzeptabel. Der Entdecker der Sicherheitslücke habe auf fremde Pinnwände ohne die Einwilligung der jeweiligen Besitzer gepostet. Dennoch gab Facebook im Nachhinein kleinlaut zu, dass das Sicherheitsteam gewissenhafter mit Khalils Meldung hätte umgehen müssen.

  • Wie oft nutzt/ schaust du in deinen Facebook News Stream?
  • Ergebnisse

Loading ... Loading ...

[via gizmodo.com]

Tags :
  1. Typische Arroganz der IT / Internet- Mogule in USA!
    Hätte der die Sicherheitslücke an Medien oder Andere „Bedarfsträger“ angeboten,
    wäre wäre seine Belohnung wesentlich höher und sicher, und ggf. auch die Aufmerksamkeit.
    >
    Vielleicht so: Auf Ebay und auf ähnlichen Plattformen via Sofortkauf inserieren:
    Sende dir via Mail innerhalb von 24 h, *.JPG von deiner Facebook Pinwand für 5 $,
    nur um zu Beweisen das Facebook unsicher ist, und Daten seiner Opfer nicht beschützen kann bzw. nicht will.
    Gegen z.B. 999 $ kannst auch das Wissen erlangen, wie es funktioniert…
    Der Versand des Wissens, erfolgt erst nach z.B. 7 Tagen, damit potenzielle Nachahmer dieses Wissen nicht stehlen und sofort Nachtvermarkten können.
    >
    lol

  2. hätte er beim ersten mal den fehler richtig gemeldet, dann hätte er sicherlich auch etwas von der kohle gesehen. wenn man sich aber mal die beschreibung auf seinem blog durchliest merkt man das der fehler tatsächlich bei ihm liegt und nicht beim bösen facebook.

    das hier ist die komplette email die er an facebook geschickt hat:

    „my name is khalil shreateh.
    i finished school with B.A degree in Infromation Systems .

    i would like to report a bug in your main site (www.facebook.com) which i discovered it .

    repro:
    the bug allow facebook users to share links to other facebook users , i tested it on sarah.goodin wall and i got success post
    link – > https://www.facebook.com/10151857333098885
    —–End Original Message to Facebook—–“

    ich bin jetzt kein informatiker, aber ich glaube ein klein wenig mehr info brauch man an der stelle schon um handeln zu können ^^.

  3. Zitat zum Thema aus Spiegel online Netzwelt:
    >
    „Der Aktion, mit der der arbeitslose palästinensische Programmierer Khalil Shreateh auf eine Sicherheitslücke bei Facebook hingewiesen hatte, brachte ihm zwar Ruhm ein, doch zunächst kein Geld. Das hat sich nun sehr plötzlich geändert. Nur einen Tag nachdem Unterstützer des Hackers auf der Crowdfunding-Plattform Gofundme um Spenden gebeten hatten, sind bereits mehr als 10.000 Dollar für ihn gesammelt worden. Weit mehr, als er von Facebook zu erwarten hätte.“

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising