Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 85, views: 39.564 •
Submitter: Squ1zZy

Een ontwikkelaar heeft een bug gedemonstreerd waarbij een gebruiker op de wall van een willekeurige andere gebruiker kan posten. Normaliter is dit alleen mogelijk voor vrienden. De ontwikkelaar demonstreerde de bug door op de wall van Mark Zuckerberg te posten.

In een post op de wall van Mark Zuckerberg legt de Palestijnse ontwikkelaar Khalil uit dat hij de genoemde bug heeft ontdekt en geprobeerd heeft te melden aan het beveiligingsteam van Facebook. Omdat zijn bugmelding niet serieus werd genomen zag hij zich genoodzaakt om de bug via de wall van de Facebook-oprichter en -ceo te demonstreren.

Kort nadat hij de post had geplaatst, werd het account van de ontwikkelaar gesloten en werd hem verzocht uit de doeken te doen hoe de bug precies werkt. Inmiddels zou het beveiligingseuvel zijn verholpen en kan de ontwikkelaar, die bekendstaat onder de naam Khalil, weer bij zijn account. Er is een video vrijgegeven waarin Khalil demonstreert hoe de bug precies werkt. In de video, waarin niet alle details getoond worden, lijkt de ontwikkelaar via het gebruikers-id een post op andermans wall te plaatsen.

Alhoewel Facebook ontwikkelaars die melding maken van bugs hiervoor betaalt, krijgt Khalil voor zijn vondst geen beloning. Omdat hij zijn bug publiekelijk heeft gedemonstreerd door op de wall van Zuckerberg te posten zou hij de voorwaarden van Facebook hebben geschonden.

Reacties (85)

Reactiefilter:-185078+165+211+30
Vrij onsportief van Facebook om die man geen beloning te geven. Hij kom de exploit ook gewoon verkopen op de zwarte markt en heeft dat niet gedaan.
Ja ook best triest, hij meld het netjes, krijgt geen geld omdat het niet 'zou werken'. Hij bewijst ze even overduidelijk dat het wel werkt, vragen ze hem alle informatie die hij ook nog eens geeft en dan zeggen van ja maar je hebt het niet correct gedaan.... Facebook begon met niet correct te zijn door gewoon te betalen voor een gevonden bug.

En dan ook nog eens het lef hebben om te vragen of hij wel met ze wil blijven samenwerken... Acties als dit zorgen ervoor dat hackers dus dit soort dingen wel op de zwarte markt gaan brengen... Echt triest van facebook dat ze niet op zijn minst even een paar honderd dollar konden missen voor dit....
Hij krijgt geen geld omdat hij het "publiekelijk" heeft gemaakt.
En dat deed hij omdat Facebook deze bug niet serieus wou nemen en hem er ook niet voor beloonde en dit is toch echt wel een serieuze bug als je het mij vraagt.
maarja, hij had het ook kunnen tonen zonder het echt zo publiekelijk te doen.
dat had hij gedaan en werd niet serieus genomen ;)
En dat deed hij omdat Facebook deze bug niet serieus wou nemen en hem er ook niet voor beloonde en dit is toch echt wel een serieuze bug als je het mij vraagt.
Het is natuurlijk niet duidelijk hoe serieus Facebook zijn melding nam (en hoe duidelijk zijn melding was). Er komen honderden, zo niet duizenden meldingen binnen bij Facebook over issues met de site en het kan best zijn dat het een tijdje duurt voor de ernst van de bug bij de ontvanger doordringt.

Als er niet direct een respons op komt kun je ook best nog een keer een mail sturen of op andere wijze navragen of je melding is binnengekomen en of de erst ervan duidelijk was.
Het account van Mark Zuckerberg bekladden is wel effectiever qua publiciteit maar is niet de geeigende weg en het lijkt me dan ook terecht dat er geen financiele beloning meer wordt gegeven.
Als ik zo de nieuwsberichten lees is er toch geruime tijd overheen gegaan waarin Facebook actie had kunnen ondernemen. Daarnaast neem ik aan dat de meldingen vrij snel worden doorgenomen en worden geprioriteerd. Wat ik lees heeft Facebook nadrukkelijk gezegd dat het hier 'niet om een bug zou gaan'.

Het feit dat deze ontwikkelaar het op het profiel van Mark Zuckerberg krijgt bewijst wat mij betreft het tegendeel wel, al denk ik inderdaad ook dat het de meest gepaste actie is.

Ik blijf het wel triest vinden dat ze dan vervolgens zo omgaan met de ontwikkelaar, gewoon zijn account dichtgooien en afdwingen dat hij alsnog laat weten hoe het precies in zijn werk gaat, als het aan mij lag had ik Facebook toch verzocht het mailtje van toen maar op te zoeken.
Wat ik lees heeft Facebook nadrukkelijk gezegd dat het hier 'niet om een bug zou gaan'.
Dat isn iet verbazend omdat hij nergens goed beschijft wat de bug zou zijn.
Hij geeft bijvoorbeeld dat hij kan posten op de wall van nie-vrienden. Dat is echter gewoon standaard facebook functionaliteit.
Hij geeft niet aan dat hij kan posten op account waarvan de wall expliciet is afgesloten voor het publiek.

Verder refereert hij aan de beloningssite van Facebook maar negeert hij belangrijke punten die daar genoemt worden zoals het niet publiceren op bestaande accounts en het gebruiken van test accounts en mist hij duidelijk reproduceerbare stappen in zijn mail waarmee iemand die de mail leest duidelijk jkan zien wat hij nu eigenlijk bedoeld.

En zo moeilijk is het niet om dat duidelijke stappen aan te geven:
  • Open test acount A
  • Blokkeer de wall van account A in de setting voor iedereen behalve virenden
  • Open test account B
  • Probeer normale post op Wall van A (met foutmelding) zodat bevestigd is dat de account normaal niet bereikt kan worden.
  • Probeer exploit met post op Wall testaccount A met sucesvol resultaat

[Reactie gewijzigd door hAl op 19 augustus 2013 11:16]

Dat publiekelijk maken deed hij pas nadat hij niet serieus werd genomen door het beveiligingsteam van facebook!
Het zou me niets verbazen als hij dat in de toekomst ook gaat doen. Ik bedoel, waarom niet? Facebook behandelt hem als vuil, jat z'n details en zegt dan pas dat ze hem niet betalen... Nou, laat ze maar lekker de shit krijgen dan ;) Ik zou ze niet nog eens helpen.
Ik zou het zeker niet meer melden, maar om dan ervoor te kiezen om je eigen leven ook in gevaar te brengen door je in te laten met bepaalde mensen die strafbare zaken doen met zo bug lijkt me ook niet echt frisse gedachte!

Normen en waarde zijn echt aan zinken lijkt het wel, word zo makkelijk gedaan over zaken die toch echt strafbaar zijn en die je leven behoorlijk overhoop kunnen halen als het niet uitkijkt. Voor dat je het weet ben je medeplichtig voor hoop schadegeld! Leuk even watt systemen overhoop halen, alleen als ze de kosten dan op je komen verhalen heb je jaren ernaar nog spijt.
Jep, dat is het risico.
Maar dan moet je je wel bedenken... In de Verenigde Staten zijn de wetten nogal streng.
Facebook kan je zo aanklagen als ze willen, zelfs als je t whitehat doet.
Dus dat kosten verhalen, dat kan nu ook al.

Zo nu ook, hij heeft de guidelines overschreden en heeft PR schade toegebracht door t op Zuckerberg te doen. Daar kunnen ze hem gewoon voor aanklagen, hoe nobel de daad ook was.

En dan moet je je afvragen, doe je liever anoniem zaken met de onderwereld; of wil je te maken hebben met een overheid die er niet om bekend staat erg IT vriendelijk te zijn? Zeker niet ten opzichte van klokkenluiders...
Als je betaald wilt worden door Facebook kan je niet anoniem zijn, als je zaken wil doen met criminelen kan dat op het gebied van internet wel. Laat je zelf eventueel zelfs in bitcoins betalen bijvoorbeeld.

Het is denk ik kiezen tussen twee uitersten, bij beiden ben je niet veilig.
Maar welke verkies je dan? En wie betaald er beter? En bij wie loop je t minste risico?

Dus ja, er wordt zeker luchtig over gedaan, maar ik denk dat dat toch deels komt omdat je je vrijheid ook niet zeker bent als je een Amerikaans bedrijf hacked. Whitehat of niet...
Facebook kan je zo aanklagen als ze willen, zelfs als je t whitehat doet.
Niet dus omdat ze een belofte doen iemand niet te vervolgen als die zich houdt aan een set duidelijke stappen.
Stappen die trouwens door deze persoon zijn genegeerd.
Heel apart. Khalil doet 3x een bugreport:

- However, the social network’s security team failed to acknowledge the bug, even though Khalil enclosed a link to a post he made on the timeline of a random girl who studied at the same college as Facebook CEO Mark Zuckerberg.
- “Sorry, this is not a bug,” Facebook’s security team said in response to Khalil’s second report
- After receiving the third bug report, a Facebook security engineer finally admitted the vulnerability but said that Khalil won’t be paid for reporting it because his actions violated the website’s security terms of service.

Er wordt niet geluisterd en nadat het wel "erkend" wordt als een bug wordt er aangegeven dat hij niet beloond wordt voor de bug. Erg slecht als je het mij vraagt. Zo ontmoedig je mensen wel om bugs te reporten.

Facebook had zijn fouten moeten toegeven, een excuus aan moeten bieden en alsnog een beloning uit moeten geven..

EDIT: Hier de site van Khalil met meer informatie en alle mailwisseling tussen hem en Facebook:

http://khalil-sh.blogspot.ru/p/facebook_16.html

Dit is een ZEER opvallende post (en begrijpelijke post) op Facebook van Khalil:
"Umair Ishaq may be next time i will chose black market than to rerpot it again . right !"

[Reactie gewijzigd door Squ1zZy op 18 augustus 2013 13:11]

Ach ja zo komt de ware aard van facebook naar voren, slechte verliezers.
Zo graaft Facebook wel zijn eigen graf. Iemand die nu nog een security bug ontdekt, zal wel 3x nadenken voor het direct aan Facebook te melden. Facebook heeft een mega belang om dit zo snel mogelijk te fixen, voordat het tot massaal misbruik en onherroepelijk tot ondergang van de site leidt. Dus daar mag wel iets tegenover staan.

Als je een bug vind dan moet je blijkbaar geen technische details doorgeven voordat een redelijk bedrag op de rekening staat. Misschien motiveert het Facebook als je aangeeft de technische details te verkopen (of per ongeluk te lekken) aan de hoogste bieder, dan kan Facebook meebieden. Eens kijken hoe interessant ze het vinden...

[Reactie gewijzigd door KopjeThee op 18 augustus 2013 13:08]

Weet je toevallig nog een andere link? Deze werkt niet meer :(
Facebook heeft uiteraard wat kort door de bocht terug gereageerd met "het is geen bug", maar de mails die hij naar Facebook stuurt met zijn issue zijn ook niet erg duidelijk. Op de blog die je linkt zie je dat hij niet meer mailt dan "ik kan een post maken op iemand zijn facebook pagina die niet mijn vriend is".

Hij geeft geen uitleg aan Facebook hoe hij de exploit uitvoert. Als je een issue meld lijkt me het logisch dat je even een stappenplan meelevert met hoe je op iemand zijn wall kan posten zodat het getest kan worden. De laatste mail van Facebook geeft ook aan dat ze te weinig informatie hadden om de bug te reproduceren en dat ze daarom geen actie konden ondernemen.

Ervan uitgaande dat die security engineers constant een dikke stroom mails krijgen van onder andere scholieren die denken dat ze een hack hebben kan ik me voorstellen dat ze hier een verkeerd oordeel hebben geveld.

Uiteraard, dom van de afdeling security om niet even wat beter te kijken, maar Khalil mag ook wel even een wat uitgebreidere mail sturen naar Facebook met ietsje meer informatie dan dit. Zeker de tweede keer, dat maakt het voor de engineers bij Facebook ook makkelijker om hem serieus te nemen.

Overigens lijkt de bug waarbij je het ID van een gebruiker in het form plakt wel schandalig eenvoudig. Mag hopen dat dat bij de QA afdeling nu is meegenomen in de nodige tests.
Als je beter had gelezen dan had je gezien dat hij de details weg heeft gehaald zodat niet elke "noob" opeens misbruik ging maken van de bug.

Wat overigens ook onderaan bij de commentaar staat. Commentaar geven is erg makkelijk, +2 geven ook.
Als jij nog iets beter zou kijken zou je zien dat hij nu ook gewoon alle details weg geeft.

Gewoon in een hidden veld van je post formulier het reeds ingevulde ID weghalen en daar het ID van een andere Facebook gebruiker voor in de plaats zetten. Niet echt moeilijk. Dat de Chrome Developer Tool die hij opent niet in beeld staat weerhoudt echt niemand die er ook maar enigszins verstand van heeft om dit na te spelen.
Overigens lijkt de bug waarbij je het ID van een gebruiker in het form plakt wel schandalig eenvoudig. Mag hopen dat dat bij de QA afdeling nu is meegenomen in de nodige tests.
Met deze zin laat hij zien dat hij *echt* snapt wat hier het issue is. Daardoor weet hij nu ook *alle* details die nodig zijn.
Als je beter had gelezen dan had je gezien dat hij de details weg heeft gehaald
Met deze zin laat jij zien dat je het overduidelijk niet snapt. Anders zou je weten dat er geen details meer zijn om weg te laten. Dit filmpje bevat alle informatie die je nodig hebt om dit na te spelen. Nogmaals, mits je er ook maar iets van snapt.
Uiteraard, dom van de afdeling security om niet even wat beter te kijken, maar Khalil mag ook wel even een wat uitgebreidere mail sturen naar Facebook met ietsje meer informatie dan dit. Zeker de tweede keer, dat maakt het voor de engineers bij Facebook ook makkelijker om hem serieus te nemen.
inderdaad, plus dat hij 'houtje touwtje' engels gebruikt en veel spelfouten heeft in zijn post, maken dat men hem niet serieus neemt

[Reactie gewijzigd door purrple op 19 augustus 2013 08:34]

Hij had gewoon een officiele test account moeten nemen als voorbeeld zoals trouwens ook gewoon wordt vermeld op de officiele beloningspagina van Facebook.
.
Hier kun je test accounts aanmaken
https://www.facebook.com/whitehat/accounts/
Wat is dat nou? Puur omdat Engels niet zijn moedertaal is hoeft een report niet (of minder) serieus genomen te worden? Wie weet hoe lang hij erover heeft gedaan om zijn stukken te schrijven. Zegt ook wel wat over Facebook, mochten (weet dat niet zeker) zij volgens diezelfde hersenkronkel redeneren.
Het gaat hier niet om een officiŽle communicatie-uiting van een bedrijf, maar om een gebruiker die Facebook erop wil wijzen dat er klaarblijkelijk een forse security issue op hun product speelt. Met andere woorden, hij probeert Facebook een dienst te bewijzen, en krijgt als dank daarvoor feitelijk een schop na...
Spijt me zeer, ik heb net die website bekeken en heb zelf al heel wat bug reports gemaakt (niet naar facebook), en dit zijn gewoon geen bugreports.

Hij gaf geen technische specificaties, stappenplan etc en laat dus niet zien aan facebook hoe ze het kunnen reproduceren. Zelfs de video toont niet duidelijk aan hoe hij het doet.
In plaats van screenshotjes en andere amateur-meuk te sturen naar Facebook, zijn die security engineers veel meer onder de indruk van een wireshark sessie en een aantal http requests en respones die laten zien hoe de targetid gepakt wordt, en in een request aangepast wordt en zodoende 'x' resultaat te hebben..

En dan nog niet eens gesproken over het honds-slechte engels.

[Reactie gewijzigd door shadylog op 18 augustus 2013 15:12]

dat de beste man slecht engels kan doet niks af van het feit dat ze hem serieus moeten nemen. Groot deel van de wereld is niet engelstalig FYI!
tja, hoe moet je iemand serieus nemen als die niet aangeeft hoe de exploit werkt... daar heb je als developer niets aan..
Beste Gallant,

Al spreken ze esperanto, het gaat er om dat je uberhaupt kan communiceren met enig detail. Zodra dat niet kan haak ik af (en misschien facebook dus ook).

Misschien had Facebook een autocorrect probleempje:

"This is not a bug"

had moeten zijn:

"This is not a bugreport"
AH.

Dus als je een jip en janneke taal uitlegt hoe je een website misbruikt, neem je dit minder serieus dan als je je direct je 1337 $41llS toont, en aantoont dat je beslist een professional ( dus je geld hiermee verdient ) bent en geen amateur.

Nee, dat is een goede instelling voor een security specialist. Iemand negeren die in je woonkamer op de bank zit, maar iemand die laat zien hoe je slot open gaat heel serieus nemen.
heb je de mails gezien die h9j op zijn blog heeft gepost, er staat totaal niets over hoe hij het heeft gedaan, dus kun je daar als developer niets mee, en zeker met bounty krijg je veel faked bugs (ofwel screenshots die zijn gephotoshopped).
Ze hadden hem de eerste keer al kunnen vragen meer details te geven ipv direct deze melding naar de prullenbak te verwijzen.
Ze zullen ongetwijfeld meer gehad hebben aan een gedetailleerd bugreport met alle genoemde informatie, maar het bericht bevat genoeg informatie om aan te tonen dat er sprake is van een ernstige fout. Als je dan als ontwikkelaar/engineer niet voldoende informatie hebt om het te reproduceren vraag je om extra informatie aan de melder van het probleem of ga je zelf aan de slag om de ontbrekende informatie te achterhalen.

De informatie die Khalil in zijn bericht stuurt is voldoende om duidelijk te maken dat er sprake is van een ernstige bug. De aard van de bug maakt het bovendien mogelijk om te controleren dat er geen sprake is van een mock-up, ze kunnen immers het verstuurde bericht zien bij de totaal ongerelateerde gebruikster. Reageren met 'this is not a bug' toont gewoon aan dat er te weinig tijd en energie in het afhandelen van deze melding is gaan zitten. Los daarvan roept zo'n reactie alleen maar meer vragen op: kunnen ze het niet reproduceren? Is het behavior by design? Een known issue? Reeds opgelost?

Als security specialist moet je inderdaad in staat zijn om betere bug reports te schrijven. Als support engineer zal je echter de meeste bug reports ontvangen van doorsnee gebruikers die geen flauw benul hebben hoe een fatsoenlijk report er uit ziet of van technische specialisten die helaas ook niet altijd even vaardig zijn in het schrijven van een fatsoenlijk report. Als je al die meldingen naast je neerlegt zal je niveau van dienstverlening gewoon ver onder de maat blijven. Filter dan de echte onzin er tussenuit en stuur de meer compelexe meldingen door naar iemand met meer kennis.

Ik kan me overigens indenken dat het filmpje aangepast is om te voorkomen dat alle details van deze hack bekend worden. En wat betreft zijn niveau van Engels: voor het gros van de internet gebruikers is het niet de moedertaal maar dat wil nog niet zeggen dat er geen vaardige hackers of security experts tussen zitten.
Zelfs de video toont niet duidelijk aan hoe hij het doet.
Sorry maar wat is er zo onduidelijk? Ok de Dev Tool staat niet in beeld, waardoor je nu niet kunt zien wat hij doet:

Hij zoekt het veld 'xhpc_targetid' in het formulier op en vervangt het ID dat daar staat met het ID dat hij uit de JSON haalt die je eenvoudig op kunt halen door de facebook pagina van iemand te bezoeken en dan 'www' in de URL te vervangen door 'graph'.

De vulnerability hier is dat men een openbaar (dus tegenovergesteld van geheim) token gebruikt om te bepalen op welke pagina het bericht moet verschijnen.

[Reactie gewijzigd door OddesE op 18 augustus 2013 20:08]

Tja, hangt er van af wat je ervaring is.

In mijn geval:
  • met veel detail gerapporteerd:
    • wordt gefixed zonder bedankje.
    • wordt niet gereageerd, niet gefixt
    • wordt na lange tijd gereageerd, dat het gefixt is, maar dat is het niet
    • wordt NOOIT om extra informatie gevraagd.
  • zonder details heb je de volgende reacties:
    • wordt genegeerd
    • wordt gereageerd; maar aangegeven dat wat ik zeg onmogelijk is
    • wordt er gevraagd hoe; en bedankt voor het melden
    • wordt er gevraagd hoe; en na uitleg, wordt hulp bij oplossing gevraagd.
In het laatste twee gevallen weet je dat ze het serieus kunnen gaan nemen, en kun je er voor kiezen tijd te besteden aan uitleggen of geven van fix tips.

En hoe moet iemand trouwens weten dat een bug melding met
wireshark sessies en(?) een aantal http requests
meer indruk maakt dan een screenshot of een pakkende titel? Meestal komen de meldingen eerst binnen bij mensen die minder diep in de materie zitten. Die moeten beoordelen of iets moet worden doorgezet of niet.

@shadylog Ik heb de indruk, door jou post, dat jouw bug-reports vaak serieus genomen worden. En dat je een duidelijke mening hebt over de inhoud en structuur van zo'n rapport. Kun je die structuur / indeling / format delen? Wellicht dat de bug reports van anderen er beter door worden en nieuwsberichten als deze vervangen worden door "XXXX euro betaald voor melden bug". tnx


(?) Ik kan het mis hebben, maar logt wireshark niet ook het http request? En als je rapporteert over een met http reproduceerbare bug, wat heb je dan aan een wireshark rapport bovenop de request/response met screenshot (result)? Sterker nog, wat heb je aan wireshark log in deze case, zonder screenshot van de tekst op andermans story line. Ik mag hopen dat de sysops een systeem hebben waarbij ze jouw request terug kunnen vinden en kunnen naspelen (realtime story playback). Dat is heel normaal bij grote sites (anders heb je niet veel aan je logs).

[Reactie gewijzigd door djwice op 19 augustus 2013 00:35]

Apple vraagt reporters altijd een standaard format aan te houden als je een bug rapporteert. Naast een goede titel, in welk product de bug zit en of het al dan niet te reproduceren is kun je in een groot tekstvak het onderstaande format aanhouden.
Summary:
Provide a descriptive summary of the issue.

Steps to Reproduce:
In numbered format, detail the exact steps taken to produce the bug.

Expected Results:
Describe what you expected to happen when you executed the steps above.

Actual Results:
Explain what actually occurred when steps above were executed.

Regression:
Describe circumstances where the problem occurs or does not occur, such as software versions and/or hardware configurations.

Notes:
Provide additional information, such as references to related problems, workarounds and relevant attachments.
Daarmee moet een engineer aan de bak kunnen. Het kost inderdaad even wat tijd dit netjes in te vullen, maar je weet ook dat ze er dan zeker mee aan de slag kunnen.
Ik snap dat je dat niet altijd doet als je er niet voor betaald gaat worden, dat is prima en je eigen afweging. Alleen als je een white hat beloning/vermelding van Facebook binnen wilt slepen is dit niet echt teveel werk of iets wat je niet zelf kunt bedenken lijkt me.

(Neemt niet weg dat de persoon die enkel "het is geen bug" terug mailde ook wel eens even zijn afhandel procedure onder de loep mag nemen. Zal vast geen gezellige werkdag hebben nu.)
Er wordt niet geluisterd en nadat het wel "erkend" wordt als een bug wordt er aangegeven dat hij niet beloond wordt voor de bug. Erg slecht als je het mij vraagt. Zo ontmoedig je mensen wel om bugs te reporten.
Hij wordt niet beloond omdat hij de bug geopenbaard heeft.
Dat is toch gewoon een voorwaarde van het beloningsstelsel dat Facebook gebruikt.
Responsible Disclosure Policy
If you give us a reasonable time to respond to your report before making any information public and make a good faith effort to avoid privacy violations, destruction of data and interruption or degradation of our service during your research, we will not bring any lawsuit against you or ask law enforcement to investigate you.
...
Eligibility
.To qualify for a bounty, you must:
■Adhere to our Responsible Disclosure Policy (above)
...
■Please use a test account instead of a real account when investigating bugs. When you are unable to reproduce a bug with a test account, it is acceptable to use a real account, except for automated testing. Do not interact with other accounts without the consent of their owners.
Bron

[Reactie gewijzigd door hAl op 19 augustus 2013 10:00]

Dus zijn bug wordt niet serieus genomen en hij krijgt er geen geld voor. Vervolgens laat ie zien dat de bug werkt en krijgt ie er ook geen geld voor. Vreedje beemd...
Het bewijst wat voor axholes het bij Facebook wel zijn - gewoon een account gijzelen om 'm te dwingen die info vrij te geven - hoe vreemd!
Het bewijst wat voor axholes het bij Facebook wel zijn - gewoon een account gijzelen om 'm te dwingen die info vrij te geven - hoe vreemd!
Oh nee, ze hebben m'n facebook account gehijacked...nu moet ik me wel onderwerpen aan hun voorwaarden 8)7
Oooooof je opent gewoon een nieuwe :+
Het geld wat je krijgt voor het niet publiek maken van een bug is natuurlijk ook een stukje betaling zodat de goede naam van Facebook niet beschadigd wordt.
Klopt maar ze wouden niet luisteren toen de bug wel op de nette manier werd gemeld, dus dan heb je in de ogen van veel mensen denk ik toch recht op de vergoeding...
Omdat zijn bugmelding niet serieus werd genomen zag hij zich genoodzaakt om de bug via de wall van Facebook-oprichter en -ceo te demonstreren.
Alhoewel Facebook ontwikkelaars die melding maken van bugs hiervoor betaalt, krijgt Khalil voor zijn vondst geen beloning.
Ik vind dit toch wel een beetje te zot voor woorden. Alsof facebook hem uit zijn schild heeft getrokken om de bug te kunnen fixen zonder hem daar ook maar een cent voor te hoeven geven. Stel je voor dat ze dit altijd zo zouden aanpakken.
Zou het misschien komen door zijn gebrekkig Engels dat hij niet serieus wordt genomen? Waarschijnlijk heeft hij net als in de video ook niet alle details verteld. Die video kan dan even goed fake zijn. Ik denk dat Facebook zo wel dagelijks meldingen binnenkrijgt.

[Reactie gewijzigd door biglia op 18 augustus 2013 12:34]

Jaja, en als iemand perfect engels spreekt neemt Facebook het serieus en gaat meteen op onderzoek uit? |:(
Facebook zal alle meldingen die binnenkomen serieus moeten nemen. Een goeie melding met uitleg/documentatie uiteraard. Aan de hand daarvan is het makkelijk na te gaan of hetgeen gemeld is ook daadwerkelijk klopt.
ik denk dat biglia wel een punt heeft. Hoeveel nepmeldingen / spam krijgen die gasten op een dagelijkse basis binnen? Tuurlijk moeten ze verder kijken dan hun neus lang is, maar redelijk Engels typen helpt wel ;)
alsof ze bij facebook niemand hebben rondlopen die arabisch kan, want ze zijn maar met 4 ontwikkelaars :+
De kans is relatief klein.

Er bestaat namelijk geen ArabiŽ, er is verschil tussen Arabisch, moslims spreken niet altijd Arabisch, en om het nog wat complexer te maken, moslims zijn niet allemaal hetzelfde door de grote hoofdstromingen van sjiieten en soennieten.

Als dit werkelijk een gevalletje lost in translation dan is Facebook als organisatie is bij lange na niet in orde om berichten met een bepaalde strekking door te sturen naar de juiste afdeling.
Je racisme verblind je. De beste man toont gewoon een lek aan nadat Facebook net deed alsof het geen probleem was, ondanks meerdere waarschuwingen. We mogen in onze handjes wrijven dat er mensen met goede bedoelingen dit soort stomme fouten aantonen.
Typisch westers gedrag bedoel je, FB zit hier duidelijk fout, maar dat lijkt niet helemaal tot je door gedrongen...
Typisch xenofobisch gedrag, je leest het woord "Palestijn" en je wordt meteen verblind door je rare onderbuikgevoelens en daardoor over alle feiten uit het artikel heen leest. Als het woord "Palestijn" er niet bij had gestaan had je er heel anders over gedacht. Best gek, toch?
Waarom ga jij ook niet eens deftig advies geven op het forum ipv telkens dezelfde onzin te vertellen? (ivm voeding & grafische kaarten..) ;)

En eens verder kijken dan je neus lang is, zou ook geen kwaad kunnen. (ivm SSD & betrouwbaarheid features)

[Reactie gewijzigd door SmokingCrop op 19 augustus 2013 19:01]

Natuurlijk wel prachtig zo......je benadert de CEO gewoon. :9~
Problem fixed......

Facebook bestraft dit door geen beloning te geven, en zich te verschuilen achter eigen regeltjes.
Eigen nalatigheid van tafel schuivend.
Hoe kinderachtig kan je zijn?

Aan de andere kant had Khalil nooit zoveel bekendheid gehad als nu, verschijnend op alle wereldwijde voorpagina`s.
Waarschijnlijk krijgt hij nu betere aanbiedingen dan een miezerig fooitje van Facebook had geweest.

Mooie gewaagde actie. 8-)

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSalaris

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste website van het jaar 2014