Czasem zbytni entuzjazm po odkryciu poważnego błędu i brak przestrzegania reguł programu współpracy z badaczami mogą drogo kosztować. Przekonał się o tym Palestyńczyk, którego odkrycie nie zostało zakwalifikowane do nagrody pieniężnej.
Khalil Shreateh odkrył sposób umieszczania wpisów na cudzej osi czasu (kiedyś zwanej tablicą) w serwisie Facebook. Taka możliwość standardowo istnieje w przypadku osób powiązanych w serwisie relacją przyjaźni, jednak Khalil odkrył możliwość zamieszczania wpisów na koncie dowolnego użytkownika. Niestety wybrał mało standardowy sposób zgłoszenia błędu, przez co Facebook odmówił mu wypłaty nagrody.
Jak nie zgłaszać błędów Facebookowi
Spójrzcie na zgłoszenie, które wysłał Khalil:
my name is khalil shreateh. i finished school with B.A degree in Infromation Systems . i would like to report a bug in your main site (www.facebook.com) which i discovered it . repro: the bug allow facebook users to share links to other facebook users , i tested it on sarah.goodin wall and i got success post link - > https://www.facebook.com/10151857333098885
Tak, na tym zgłoszenie się kończy. Khalil po prostu umieścił wpis na osi czasu obcej osoby, która chodziła do tej samej szkoły co Mark Zuckerberg (bez zgody tej osoby) i wysłał zespołowi bezpieczeństwa link do tego wpisu. Koniec zgłoszenia. W odpowiedzi usłyszał, że link wyświetla błąd (nic dziwnego, klikający nie miał dostępu do tego konta). Wysłał więc raport raz jeszcze, uzupełniając opis jedynie o skutek swojego odkrycia, zamiast przyczynę i w odpowiedzi przeczytał:
I am sorry this is not a bug.
Co zatem zrobił nasz bohater? Zamieścił ten sam raport o błędzie na osi czasu Marka Zuckerberga. Po kilku minutach odezwał się do niego inżynier Facebooka, a zaraz potem jego konto zostało zablokowane. Po wymianie wiadomości konto zostało odblokowane, jednak ze względu na naruszenie zasad programu Khalil nie otrzyma wynagrodzenia za swoje odkrycie.
Na czym polegał błąd?
Khalil zamieścił jedynie demonstrację wideo odkrytego błędu. Na tym filmie nie pokazuje szczegółów, jednak można się domyśleć, że w trakcie publikowania wpisu na cudzej osi czasu, przed wysłaniem żądania do serwera manipuluje jego parametrami w przeglądarce. Zobaczcie sami.
Czemu Khalil nie otrzyma nagrody?
Przede wszystkim w zasadach programu Whitehat znajduje się zapis mówiący o tym, że zgłaszający ma dochować wszelkich starań, by uniknąć naruszeń prywatności innych użytkowników. Dodatkowo regulamin wprost prosi o używanie kont testowych i zakazuje wykorzystywania kont użytkowników, których zgody badacz nie posiada. By to ułatwić, Facebook oferuje badaczom możliwość zakładania specjalnych kont testowych. Niestety Khalil nie skorzystał z tej możliwości, co stanowi automatyczny powód dyskwalifikacji.
Czemu Facebook nie przeanalizował jego zgłoszenia?
Tu odpowiedź jest bardziej prozaiczna – jak napisał jeden z pracowników Facebooka, codziennie otrzymują oni setki zgłoszeń, z czego spora część jest zupełnie nieuzasadniona (na przykład „hasło jest przesyłane otwartym tekstem przez HTTPS” lub „po wpisaniu hasła hasło jest widoczne w podglądzie źródła strony). Najwyraźniej osoba analizująca wiadomość doszła do błędnego wniosku, że to kolejny bezwartościowy raport. Był to niewątpliwy błąd Facebooka – zdenerwowany badacz mógł przecież sprzedać ten błąd za grube pieniądze spamerom. Pozostaje cieszyć się, że tego nie zrobił.
Komentarze
A moze polityczny – rasowy wszak to palestynczyk – jak widzimy ostatnio arabowie ucza sie technik hackingu!
Powinni jednak jakoś z nim bardziej elegancko załatwić sprawę. Spamerzy to akurat małe piwo, ale mógłby to wykorzystać do manipulowania kursu akcji poprzez wrzucenie nieprawdziwych informacji w „usta” ważnych ludzi.
Nie mógł nikomu wrzucić nic „w usta” ponieważ błąd pozwalał jedynie na zamieszczanie własnych wpisów na timeline innych osób, nawet gdy ich ustawienia prywatności na to nie pozwalały.
Tym razem zgłosił, ale w jednym z komentarzy na swoim blogu, chłopak pisze ” may be next time i will chose black market than to rerpot it again”, więc chyba nic dobrego się po nim nie można spodziewać.
Dziwną wersję facebooka tam mają…
Już nie działa :/
Łatwo oczywiście rzucać gromy na FB, ale procesowanie zewnętrznych zgłoszeń to ciężka praca:
Próbka z MS:
– http://blogs.msdn.com/b/oldnewthing/archive/2008/03/14/8080140.aspx
– http://blogs.msdn.com/b/oldnewthing/archive/2011/12/15/10247870.aspx
zglosil , sprawa jasna teraz czas na publikacje…..jednym slowem sumienie ma czyste
Jest i pozytywna reakcja:)
http://www.theregister.co.uk/2013/08/20/palestinian_facebook_flawfinder_getting_10000_payday_in_online_appeal/