Zamieścił opis błędu w Facebooku na osi czasu Zuckerberga, nie dostanie nagrody

dodał 18 sierpnia 2013 o 09:35 w kategorii Wpadki  z tagami:
Zamieścił opis błędu w Facebooku na osi czasu Zuckerberga, nie dostanie nagrody

Czasem zbytni entuzjazm po odkryciu poważnego błędu i brak przestrzegania reguł programu współpracy z badaczami mogą drogo kosztować. Przekonał się o tym Palestyńczyk, którego odkrycie nie zostało zakwalifikowane do nagrody pieniężnej.

Khalil Shreateh odkrył sposób umieszczania wpisów na cudzej osi czasu (kiedyś zwanej tablicą) w serwisie Facebook. Taka możliwość standardowo istnieje w przypadku osób powiązanych w serwisie relacją przyjaźni, jednak Khalil odkrył możliwość zamieszczania wpisów na koncie dowolnego użytkownika. Niestety wybrał mało standardowy sposób zgłoszenia błędu, przez co Facebook odmówił mu wypłaty nagrody.

Jak nie zgłaszać błędów Facebookowi

Spójrzcie na zgłoszenie, które wysłał Khalil:

Tak, na tym zgłoszenie się kończy. Khalil po prostu umieścił wpis na osi czasu obcej osoby, która chodziła do tej samej szkoły co Mark Zuckerberg (bez zgody tej osoby) i wysłał zespołowi bezpieczeństwa link do tego wpisu. Koniec zgłoszenia. W odpowiedzi usłyszał, że link wyświetla błąd (nic dziwnego, klikający nie miał dostępu do tego konta). Wysłał więc raport raz jeszcze, uzupełniając opis jedynie o skutek swojego odkrycia, zamiast przyczynę i w odpowiedzi przeczytał:

Co zatem zrobił nasz bohater? Zamieścił ten sam raport o błędzie na osi czasu Marka Zuckerberga. Po kilku minutach odezwał się do niego inżynier Facebooka, a zaraz potem jego konto zostało zablokowane. Po wymianie wiadomości konto zostało odblokowane, jednak ze względu na naruszenie zasad programu Khalil nie otrzyma wynagrodzenia za swoje odkrycie.

Post na osi czasu Marka (źródło: Khalil)

Post na osi czasu Marka (źródło: Khalil)

Na czym polegał błąd?

Khalil zamieścił jedynie demonstrację wideo odkrytego błędu. Na tym filmie nie pokazuje szczegółów, jednak można się domyśleć, że w trakcie publikowania wpisu na cudzej osi czasu, przed wysłaniem żądania do serwera manipuluje jego parametrami w przeglądarce. Zobaczcie sami.

Czemu Khalil nie otrzyma nagrody?

Przede wszystkim w zasadach programu Whitehat znajduje się zapis mówiący o tym, że zgłaszający ma dochować wszelkich starań, by uniknąć naruszeń prywatności innych użytkowników. Dodatkowo regulamin wprost prosi o używanie kont testowych i zakazuje wykorzystywania kont użytkowników, których zgody badacz nie posiada. By to ułatwić, Facebook oferuje badaczom możliwość zakładania specjalnych kont testowych. Niestety Khalil nie skorzystał z tej możliwości, co stanowi automatyczny powód dyskwalifikacji.

Czemu Facebook nie przeanalizował jego zgłoszenia?

Tu odpowiedź jest bardziej prozaiczna – jak napisał jeden z pracowników Facebooka, codziennie otrzymują oni setki zgłoszeń, z czego spora część jest zupełnie nieuzasadniona (na przykład „hasło jest przesyłane otwartym tekstem przez HTTPS” lub „po wpisaniu hasła hasło jest widoczne w podglądzie źródła strony). Najwyraźniej osoba analizująca wiadomość doszła do błędnego wniosku, że to kolejny bezwartościowy raport. Był to niewątpliwy błąd Facebooka – zdenerwowany badacz mógł przecież sprzedać ten błąd za grube pieniądze spamerom. Pozostaje cieszyć się, że tego nie zrobił.