Ο Χαλίλ από την Παλαιστίνη που τρέλανε το Facebook

20.8.13

«Ζητώ συγγνώμη που ποστάρω στον τοίχο σας, αλλά δεν είχα άλλη επιλογή μετά από όλες τις αναφορές που έστειλα στην ομάδα του Facebook. Ονομάζομαι Χαλίλ Σριατέχ. Θα ήθελα να σας αναφέρω ένα bug στη σελίδα σας (Facebook.com) που ανακάλυψα. Το bug επιτρέπει στους χρήστες να μοιράζονται συνδέσμους με άλλους χρήστες».


Παρά το γεγονός ότι ο Ζούκερμπεργκ έχει...



...«κλειδωμένο «τον «τοίχο» του στο Facebook, ο προγραμματιστής Χαλίλ Σριατέχ από τη Χεβρώνα κατάφερε να τον «χακάρει» και να γράψει σε αυτόν το παραπάνω μήνυμα.

Με την κίνησή του ο Σριατέχ, ήθελε να προειδοποιήσει πως αυτό το bug έδινε στον οποιονδήποτε πρόσβαση στον «τοίχο» οποιουδήποτε, ακόμα και αν το προφίλ είναι κλειδωμένο.
Είχαν προηγηθεί τουλάχιστον δύο προειδοποιήσεις του Παλαιστίνιου προς το Facebook, τις οποίες όμως οι αρμόδιοι αρνούνταν να παραδεχτούν ή ακόμη και να του απαντήσουν.

Πηγή: Ημερησία

Σε σχετική ανακοίνωση που εξέδωσε ο Joe Sullivan, υπεύθυνος ασφαλείας του Facebook, ανέφερε τα εξής όσον αφορά στο bug που εντόπισε ο Khalil και εάν θα έπρεπε ή όχι να ανταμειφθεί για αυτό:

«Επανεξέτασα την επικοινωνία που είχα με τον ερευνητή και κατανοώ την απογοήτευσή του. Προσπάθησε να αναφέρει το σφάλμα (bug) υπεύθυνα και αποτύχαμε στην επικοινωνία μας με αυτόν. Λαμβάνουμε εκατοντάδες υποβολές την ημέρα, και μόνο ένα μικρό ποσοστό αυτών έχει αποδειχθεί ότι είναι πράγματι bugs. Ως εκ τούτου ήμασταν πολύ βιαστικοί και απορριπτικοί εν προκειμένω. Έπρεπε να είχαμε εξηγήσει στον ερευνητή ότι στα αρχικά του μηνύματα δεν μας έδωσε αρκετές λεπτομέρειες που θα μας επέτρεπαν να αναπαράγουμε το πρόβλημα. Η αποτυχία εδώ δεν είχε να κάνει με τη γλώσσα ή την έλλειψη ενδιαφέροντος ήταν απλά και μόνον η έλλειψη πληροφοριών που έκανε την αναφορά του να μοιάζει σαν ακόμη μία παραπλανητική αναφορά. Ένα παράδειγμα του τύπου λεπτομερών αναφορών που επιδιώκουμε είναι το βίντεο το οποίο κυκλοφόρησε ο ερευνητής μετά το γεγονός. Οι περισσότεροι ερευνητές θα παρέχουν αυτό το επίπεδο λεπτομέρειας στις αναφορές τους και εφόσον είναι βάσιμες θα ανταμοίβουμε τους ανθρώπους που τις υποβάλλουν.

Θα κάνουμε δύο αλλαγές ως αποτέλεσμα αυτού του γεγονότος:

(1) θα βελτιώσουμε τα ηλεκτρονικά μας μηνύματα για να βεβαιωθούμε πως διατυπώνουμε με σαφήνεια τι χρειαζόμαστε για να επιβεβαιωθεί ένα bug και (2) θα ενημερώσουμε την WhiteHat σελίδα μας με περισσότερες πληροφορίες σχετικά με τους καλύτερους τρόπους για να υποβάλετε μια αναφορά σφάλματος.

Δε θα αλλάξουμε την πρακτική μας να αρνηθούμε να ανταμείψουμε ερευνητές που έχουν δοκιμάσει τρωτά σημεία (της πλατφόρμας) σε πραγματικούς χρήστες. Δεν είναι ποτέ αποδεκτό να θίγεται η ασφάλεια ή ιδιωτικότητα άλλων ανθρώπων. Στην περίπτωση αυτή, θα μπορούσε ο ερευνητής να στείλει μια πιο λεπτομερή αναφορά (σαν το βίντεο που δημοσίευσε αργότερα) και θα μπορούσε να χρησιμοποιήσει έναν από τους δοκιμαστικούς λογαριασμούς μας (test accounts) για να επιβεβαιώσει το bug.

Ελπίζουμε πως αυτή η περίπτωση δεν θα αποθαρρύνει τον εν λόγω ερευνητή ή άλλους ερευνητές από την υποβολή αναφορών στο μέλλον. Είμαστε παθιασμένοι με τη βελτίωση της ασφάλειας του Facebook, και θέλουμε να συνεχίσουμε να χτίζουμε γερές σχέσεις με ερευνητές ασφάλειας σε όλο τον κόσμο .»

Πηγή: Digitallife.gr