Ontwikkelaar demonstreert Facebook-bug via account Mark Zuckerberg

Een ontwikkelaar heeft een bug gedemonstreerd waarbij een gebruiker op de wall van een willekeurige andere gebruiker kan posten. Normaliter is dit alleen mogelijk voor vrienden. De ontwikkelaar demonstreerde de bug door op de wall van Mark Zuckerberg te posten.

In een post op de wall van Mark Zuckerberg legt de Palestijnse ontwikkelaar Khalil uit dat hij de genoemde bug heeft ontdekt en geprobeerd heeft te melden aan het beveiligingsteam van Facebook. Omdat zijn bugmelding niet serieus werd genomen zag hij zich genoodzaakt om de bug via de wall van de Facebook-oprichter en -ceo te demonstreren.

Kort nadat hij de post had geplaatst, werd het account van de ontwikkelaar gesloten en werd hem verzocht uit de doeken te doen hoe de bug precies werkt. Inmiddels zou het beveiligingseuvel zijn verholpen en kan de ontwikkelaar, die bekendstaat onder de naam Khalil, weer bij zijn account. Er is een video vrijgegeven waarin Khalil demonstreert hoe de bug precies werkt. In de video, waarin niet alle details getoond worden, lijkt de ontwikkelaar via het gebruikers-id een post op andermans wall te plaatsen.

Alhoewel Facebook ontwikkelaars die melding maken van bugs hiervoor betaalt, krijgt Khalil voor zijn vondst geen beloning. Omdat hij zijn bug publiekelijk heeft gedemonstreerd door op de wall van Zuckerberg te posten zou hij de voorwaarden van Facebook hebben geschonden.

Helaas!
De video die je probeert te bekijken is niet langer beschikbaar op Tweakers.net.

IT-banen

Reacties (85)

Squ1zZy 18 augustus 2013 12:28

Heel apart. Khalil doet 3x een bugreport:

- However, the social network’s security team failed to acknowledge the bug, even though Khalil enclosed a link to a post he made on the timeline of a random girl who studied at the same college as Facebook CEO Mark Zuckerberg.
- “Sorry, this is not a bug,” Facebook’s security team said in response to Khalil’s second report
- After receiving the third bug report, a Facebook security engineer finally admitted the vulnerability but said that Khalil won’t be paid for reporting it because his actions violated the website’s security terms of service.

Er wordt niet geluisterd en nadat het wel "erkend" wordt als een bug wordt er aangegeven dat hij niet beloond wordt voor de bug. Erg slecht als je het mij vraagt. Zo ontmoedig je mensen wel om bugs te reporten.

Facebook had zijn fouten moeten toegeven, een excuus aan moeten bieden en alsnog een beloning uit moeten geven..

EDIT: Hier de site van Khalil met meer informatie en alle mailwisseling tussen hem en Facebook:

http://khalil-sh.blogspot.ru/p/facebook_16.html

Dit is een ZEER opvallende post (en begrijpelijke post) op Facebook van Khalil:
"Umair Ishaq may be next time i will chose black market than to rerpot it again . right !"

[Reactie gewijzigd door Squ1zZy op 23 juli 2024 07:32]

shadylog @Squ1zZy • 18 augustus 2013 15:10

Spijt me zeer, ik heb net die website bekeken en heb zelf al heel wat bug reports gemaakt (niet naar facebook), en dit zijn gewoon geen bugreports.

Hij gaf geen technische specificaties, stappenplan etc en laat dus niet zien aan facebook hoe ze het kunnen reproduceren. Zelfs de video toont niet duidelijk aan hoe hij het doet.
In plaats van screenshotjes en andere amateur-meuk te sturen naar Facebook, zijn die security engineers veel meer onder de indruk van een wireshark sessie en een aantal http requests en respones die laten zien hoe de targetid gepakt wordt, en in een request aangepast wordt en zodoende 'x' resultaat te hebben..

En dan nog niet eens gesproken over het honds-slechte engels.

[Reactie gewijzigd door shadylog op 23 juli 2024 07:32]

djwice

@shadylog • 19 augustus 2013 00:08

Tja, hangt er van af wat je ervaring is.

In mijn geval:

met veel detail gerapporteerd:
- wordt gefixed zonder bedankje.
- wordt niet gereageerd, niet gefixt
- wordt na lange tijd gereageerd, dat het gefixt is, maar dat is het niet
- wordt NOOIT om extra informatie gevraagd.
zonder details heb je de volgende reacties:
- wordt genegeerd
- wordt gereageerd; maar aangegeven dat wat ik zeg onmogelijk is
- wordt er gevraagd hoe; en bedankt voor het melden
- wordt er gevraagd hoe; en na uitleg, wordt hulp bij oplossing gevraagd.

In het laatste twee gevallen weet je dat ze het serieus kunnen gaan nemen, en kun je er voor kiezen tijd te besteden aan uitleggen of geven van fix tips.

En hoe moet iemand trouwens weten dat een bug melding met

wireshark sessies en(?) een aantal http requests

meer indruk maakt dan een screenshot of een pakkende titel? Meestal komen de meldingen eerst binnen bij mensen die minder diep in de materie zitten. Die moeten beoordelen of iets moet worden doorgezet of niet.

@shadylog Ik heb de indruk, door jou post, dat jouw bug-reports vaak serieus genomen worden. En dat je een duidelijke mening hebt over de inhoud en structuur van zo'n rapport. Kun je die structuur / indeling / format delen? Wellicht dat de bug reports van anderen er beter door worden en nieuwsberichten als deze vervangen worden door "XXXX euro betaald voor melden bug". tnx

(?) Ik kan het mis hebben, maar logt wireshark niet ook het http request? En als je rapporteert over een met http reproduceerbare bug, wat heb je dan aan een wireshark rapport bovenop de request/response met screenshot (result)? Sterker nog, wat heb je aan wireshark log in deze case, zonder screenshot van de tekst op andermans story line. Ik mag hopen dat de sysops een systeem hebben waarbij ze jouw request terug kunnen vinden en kunnen naspelen (realtime story playback). Dat is heel normaal bij grote sites (anders heb je niet veel aan je logs).

[Reactie gewijzigd door djwice op 23 juli 2024 07:32]

Mac_Cain13

@djwice • 19 augustus 2013 01:49

Apple vraagt reporters altijd een standaard format aan te houden als je een bug rapporteert. Naast een goede titel, in welk product de bug zit en of het al dan niet te reproduceren is kun je in een groot tekstvak het onderstaande format aanhouden.

quote: https://bugreport.apple.c...erResources/probreqs.html
Summary:
Provide a descriptive summary of the issue.

Steps to Reproduce:
In numbered format, detail the exact steps taken to produce the bug.

Expected Results:
Describe what you expected to happen when you executed the steps above.

Actual Results:
Explain what actually occurred when steps above were executed.

Regression:
Describe circumstances where the problem occurs or does not occur, such as software versions and/or hardware configurations.

Notes:
Provide additional information, such as references to related problems, workarounds and relevant attachments.

Daarmee moet een engineer aan de bak kunnen. Het kost inderdaad even wat tijd dit netjes in te vullen, maar je weet ook dat ze er dan zeker mee aan de slag kunnen.
Ik snap dat je dat niet altijd doet als je er niet voor betaald gaat worden, dat is prima en je eigen afweging. Alleen als je een white hat beloning/vermelding van Facebook binnen wilt slepen is dit niet echt teveel werk of iets wat je niet zelf kunt bedenken lijkt me.

(Neemt niet weg dat de persoon die enkel "het is geen bug" terug mailde ook wel eens even zijn afhandel procedure onder de loep mag nemen. Zal vast geen gezellige werkdag hebben nu.)

Tribits @shadylog • 18 augustus 2013 17:14

Ze zullen ongetwijfeld meer gehad hebben aan een gedetailleerd bugreport met alle genoemde informatie, maar het bericht bevat genoeg informatie om aan te tonen dat er sprake is van een ernstige fout. Als je dan als ontwikkelaar/engineer niet voldoende informatie hebt om het te reproduceren vraag je om extra informatie aan de melder van het probleem of ga je zelf aan de slag om de ontbrekende informatie te achterhalen.

De informatie die Khalil in zijn bericht stuurt is voldoende om duidelijk te maken dat er sprake is van een ernstige bug. De aard van de bug maakt het bovendien mogelijk om te controleren dat er geen sprake is van een mock-up, ze kunnen immers het verstuurde bericht zien bij de totaal ongerelateerde gebruikster. Reageren met 'this is not a bug' toont gewoon aan dat er te weinig tijd en energie in het afhandelen van deze melding is gaan zitten. Los daarvan roept zo'n reactie alleen maar meer vragen op: kunnen ze het niet reproduceren? Is het behavior by design? Een known issue? Reeds opgelost?

Als security specialist moet je inderdaad in staat zijn om betere bug reports te schrijven. Als support engineer zal je echter de meeste bug reports ontvangen van doorsnee gebruikers die geen flauw benul hebben hoe een fatsoenlijk report er uit ziet of van technische specialisten die helaas ook niet altijd even vaardig zijn in het schrijven van een fatsoenlijk report. Als je al die meldingen naast je neerlegt zal je niveau van dienstverlening gewoon ver onder de maat blijven. Filter dan de echte onzin er tussenuit en stuur de meer compelexe meldingen door naar iemand met meer kennis.

Ik kan me overigens indenken dat het filmpje aangepast is om te voorkomen dat alle details van deze hack bekend worden. En wat betreft zijn niveau van Engels: voor het gros van de internet gebruikers is het niet de moedertaal maar dat wil nog niet zeggen dat er geen vaardige hackers of security experts tussen zitten.

OddesE @shadylog • 18 augustus 2013 20:08

Zelfs de video toont niet duidelijk aan hoe hij het doet.

Sorry maar wat is er zo onduidelijk? Ok de Dev Tool staat niet in beeld, waardoor je nu niet kunt zien wat hij doet:

Hij zoekt het veld 'xhpc_targetid' in het formulier op en vervangt het ID dat daar staat met het ID dat hij uit de JSON haalt die je eenvoudig op kunt halen door de facebook pagina van iemand te bezoeken en dan 'www' in de URL te vervangen door 'graph'.

De vulnerability hier is dat men een openbaar (dus tegenovergesteld van geheim) token gebruikt om te bepalen op welke pagina het bericht moet verschijnen.

[Reactie gewijzigd door OddesE op 23 juli 2024 07:32]

Gallant @shadylog • 18 augustus 2013 16:46

dat de beste man slecht engels kan doet niks af van het feit dat ze hem serieus moeten nemen. Groot deel van de wereld is niet engelstalig FYI!

shadylog @Gallant • 18 augustus 2013 23:15

Beste Gallant,

Al spreken ze esperanto, het gaat er om dat je uberhaupt kan communiceren met enig detail. Zodra dat niet kan haak ik af (en misschien facebook dus ook).

Misschien had Facebook een autocorrect probleempje:

"This is not a bug"

had moeten zijn:

"This is not a bugreport"

SuperDre @Gallant • 18 augustus 2013 19:37

tja, hoe moet je iemand serieus nemen als die niet aangeeft hoe de exploit werkt... daar heb je als developer niets aan..

thegve @shadylog • 18 augustus 2013 17:00

AH.

Dus als je een jip en janneke taal uitlegt hoe je een website misbruikt, neem je dit minder serieus dan als je je direct je 1337 $41llS toont, en aantoont dat je beslist een professional ( dus je geld hiermee verdient ) bent en geen amateur.

Nee, dat is een goede instelling voor een security specialist. Iemand negeren die in je woonkamer op de bank zit, maar iemand die laat zien hoe je slot open gaat heel serieus nemen.

SuperDre @thegve • 18 augustus 2013 19:42

heb je de mails gezien die h9j op zijn blog heeft gepost, er staat totaal niets over hoe hij het heeft gedaan, dus kun je daar als developer niets mee, en zeker met bounty krijg je veel faked bugs (ofwel screenshots die zijn gephotoshopped).

schumi2004 @SuperDre • 19 augustus 2013 09:44

Ze hadden hem de eerste keer al kunnen vragen meer details te geven ipv direct deze melding naar de prullenbak te verwijzen.

Mac_Cain13

@Squ1zZy • 18 augustus 2013 14:44

Facebook heeft uiteraard wat kort door de bocht terug gereageerd met "het is geen bug", maar de mails die hij naar Facebook stuurt met zijn issue zijn ook niet erg duidelijk. Op de blog die je linkt zie je dat hij niet meer mailt dan "ik kan een post maken op iemand zijn facebook pagina die niet mijn vriend is".

Hij geeft geen uitleg aan Facebook hoe hij de exploit uitvoert. Als je een issue meld lijkt me het logisch dat je even een stappenplan meelevert met hoe je op iemand zijn wall kan posten zodat het getest kan worden. De laatste mail van Facebook geeft ook aan dat ze te weinig informatie hadden om de bug te reproduceren en dat ze daarom geen actie konden ondernemen.

Ervan uitgaande dat die security engineers constant een dikke stroom mails krijgen van onder andere scholieren die denken dat ze een hack hebben kan ik me voorstellen dat ze hier een verkeerd oordeel hebben geveld.

Uiteraard, dom van de afdeling security om niet even wat beter te kijken, maar Khalil mag ook wel even een wat uitgebreidere mail sturen naar Facebook met ietsje meer informatie dan dit. Zeker de tweede keer, dat maakt het voor de engineers bij Facebook ook makkelijker om hem serieus te nemen.

Overigens lijkt de bug waarbij je het ID van een gebruiker in het form plakt wel schandalig eenvoudig. Mag hopen dat dat bij de QA afdeling nu is meegenomen in de nodige tests.

purrple @Mac_Cain13 • 19 augustus 2013 08:33

Uiteraard, dom van de afdeling security om niet even wat beter te kijken, maar Khalil mag ook wel even een wat uitgebreidere mail sturen naar Facebook met ietsje meer informatie dan dit. Zeker de tweede keer, dat maakt het voor de engineers bij Facebook ook makkelijker om hem serieus te nemen.

inderdaad, plus dat hij 'houtje touwtje' engels gebruikt en veel spelfouten heeft in zijn post, maken dat men hem niet serieus neemt

[Reactie gewijzigd door purrple op 23 juli 2024 07:32]

Verwijderd @purrple • 19 augustus 2013 10:04

Hij had gewoon een officiele test account moeten nemen als voorbeeld zoals trouwens ook gewoon wordt vermeld op de officiele beloningspagina van Facebook.
.
Hier kun je test accounts aanmaken
https://www.facebook.com/whitehat/accounts/

w00t00w @purrple • 19 augustus 2013 13:12

Wat is dat nou? Puur omdat Engels niet zijn moedertaal is hoeft een report niet (of minder) serieus genomen te worden? Wie weet hoe lang hij erover heeft gedaan om zijn stukken te schrijven. Zegt ook wel wat over Facebook, mochten (weet dat niet zeker) zij volgens diezelfde hersenkronkel redeneren.
Het gaat hier niet om een officiële communicatie-uiting van een bedrijf, maar om een gebruiker die Facebook erop wil wijzen dat er klaarblijkelijk een forse security issue op hun product speelt. Met andere woorden, hij probeert Facebook een dienst te bewijzen, en krijgt als dank daarvoor feitelijk een schop na...

V-rg @Mac_Cain13 • 18 augustus 2013 19:49

Als je beter had gelezen dan had je gezien dat hij de details weg heeft gehaald zodat niet elke "noob" opeens misbruik ging maken van de bug.

Wat overigens ook onderaan bij de commentaar staat. Commentaar geven is erg makkelijk, +2 geven ook.

OddesE @V-rg • 18 augustus 2013 20:03

Als jij nog iets beter zou kijken zou je zien dat hij nu ook gewoon alle details weg geeft.

Gewoon in een hidden veld van je post formulier het reeds ingevulde ID weghalen en daar het ID van een andere Facebook gebruiker voor in de plaats zetten. Niet echt moeilijk. Dat de Chrome Developer Tool die hij opent niet in beeld staat weerhoudt echt niemand die er ook maar enigszins verstand van heeft om dit na te spelen.

Overigens lijkt de bug waarbij je het ID van een gebruiker in het form plakt wel schandalig eenvoudig. Mag hopen dat dat bij de QA afdeling nu is meegenomen in de nodige tests.

Met deze zin laat hij zien dat hij *echt* snapt wat hier het issue is. Daardoor weet hij nu ook *alle* details die nodig zijn.

Als je beter had gelezen dan had je gezien dat hij de details weg heeft gehaald

Met deze zin laat jij zien dat je het overduidelijk niet snapt. Anders zou je weten dat er geen details meer zijn om weg te laten. Dit filmpje bevat alle informatie die je nodig hebt om dit na te spelen. Nogmaals, mits je er ook maar iets van snapt.

jochem4207 @Squ1zZy • 18 augustus 2013 13:07

Weet je toevallig nog een andere link? Deze werkt niet meer

Squ1zZy @jochem4207 • 18 augustus 2013 13:11

Het is html geworden blijkbaar:
http://khalil-sh.blogspot.ru/p/facebook_16.html

bbob

Facebook
Netwerk en systeembeheer

@Squ1zZy • 18 augustus 2013 12:38

Ach ja zo komt de ware aard van facebook naar voren, slechte verliezers.

KopjeThee @Squ1zZy • 18 augustus 2013 13:06

Zo graaft Facebook wel zijn eigen graf. Iemand die nu nog een security bug ontdekt, zal wel 3x nadenken voor het direct aan Facebook te melden. Facebook heeft een mega belang om dit zo snel mogelijk te fixen, voordat het tot massaal misbruik en onherroepelijk tot ondergang van de site leidt. Dus daar mag wel iets tegenover staan.

Als je een bug vind dan moet je blijkbaar geen technische details doorgeven voordat een redelijk bedrag op de rekening staat. Misschien motiveert het Facebook als je aangeeft de technische details te verkopen (of per ongeluk te lekken) aan de hoogste bieder, dan kan Facebook meebieden. Eens kijken hoe interessant ze het vinden...

[Reactie gewijzigd door KopjeThee op 23 juli 2024 07:32]

Verwijderd @Squ1zZy • 19 augustus 2013 09:26

Er wordt niet geluisterd en nadat het wel "erkend" wordt als een bug wordt er aangegeven dat hij niet beloond wordt voor de bug. Erg slecht als je het mij vraagt. Zo ontmoedig je mensen wel om bugs te reporten.

Hij wordt niet beloond omdat hij de bug geopenbaard heeft.
Dat is toch gewoon een voorwaarde van het beloningsstelsel dat Facebook gebruikt.

Responsible Disclosure Policy
If you give us a reasonable time to respond to your report before making any information public and make a good faith effort to avoid privacy violations, destruction of data and interruption or degradation of our service during your research, we will not bring any lawsuit against you or ask law enforcement to investigate you.
...
Eligibility
.To qualify for a bounty, you must:
■Adhere to our Responsible Disclosure Policy (above)
...
■Please use a test account instead of a real account when investigating bugs. When you are unable to reproduce a bug with a test account, it is acceptable to use a real account, except for automated testing. Do not interact with other accounts without the consent of their owners.

Bron

[Reactie gewijzigd door Verwijderd op 23 juli 2024 07:32]

IJsrace 18 augustus 2013 13:50

Ik heb het zelf even gepoogd te reproduceren, lastig was de 'hack' niet:
Met behulp van Chrome tools kun je een zogenaamd 'xhpc_targetid' aanpassen op de pagina. Wanneer je dit dus aanpast naar het ID van iemand anders werd er blijkbaar niet gecheckt of er toestemming was voor het posten. Inmiddels krijg je de melding "The message could not be posted to this Wall."

Wel vreemde gang van zaken dat hij geen uitbetaling krijgt, kan me voorstellen dat deze flaw geld op had kunnen leveren wanneer verkocht aan bijv. een spam-collectief.

[Reactie gewijzigd door IJsrace op 23 juli 2024 07:32]

Sebas1974 18 augustus 2013 21:47

Als MZ een beetje ballen had dan gaf hij hem een royale beloning ipv te mekkeren over gebruiksvoorwaarden. Zo te zien leeft die gedachte bij het gros van de Tweakers.

kwakzalver 18 augustus 2013 23:19

Geen gemiste kans, maar een totaal foute reactie van Facebook. Dit gaat ze bugmeldingen kosten.

Ze beloven mensen te belonen die bugs vinden.
Ze schepen mensen af die een bug vinden.
En als de bugmeldershet dan maar demonstreren omdat ze het niet geloven, dan ook niet belonen.

Dat resulteert in een backfire richting facebook. Zij proberen met het belonen van mensen de bugs te vinden. Een el-cheapo developers oplossing.

Maar als het lokmiddel 'beloning' dusdanig discutabel wordt, gaan mensen echt geen bugs meer indienen.

FB of facebook is hier eigenlijk zelf een scammer. Aan de schandpaal nagelen!

_Thanatos_ 19 augustus 2013 03:28

Haha, account sluiten? Dan ook geen uitleg krijgen, zou ik zeggen. Jullie kinderachtig doen, dan ik ook.

Nou kan Facebook wat mij betreft sowieso de ballen krijgen, maar het punt is dat dit weer zo'n actie is van een groot bedrijf dat een beetje uit de hoogte loopt te doen tegen iemand die als mens niets minder is dan die Mark (integendeel zelfs).

Grote bedrijven (zoals Facebook) mogen zijn gebruikers ook weleens respecteren en serieus nemen. Maar dat zou weer te nieuw zijn.

[Reactie gewijzigd door _Thanatos_ op 23 juli 2024 07:32]

Verwijderd 19 augustus 2013 12:24

Niet te geloven, de beste man probeert met de beste bedoelingen aan Facebook aan te geven. Dat er een bug is, zij het in niet het beste Engels.

Word helemaal niet gelooft en probeert dan nog steeds de bug onder de aandacht brengen, hij had het in mijn ogen niet beter kunnen doen, omdat hij het account van CEO Mark Zuckerberg hiervoor gebruikte.

MZ zou eens na moeten denken over zijn dev team die de bug als lachertje afdeed.

Vind ook een vergoeding wel op zijn plaats.

En ja facebook krijgt een deuk again

IStealYourGun 18 augustus 2013 12:28

Vrij onsportief van Facebook om die man geen beloning te geven. Hij kom de exploit ook gewoon verkopen op de zwarte markt en heeft dat niet gedaan.

SRI @IStealYourGun • 18 augustus 2013 13:01

Ja ook best triest, hij meld het netjes, krijgt geen geld omdat het niet 'zou werken'. Hij bewijst ze even overduidelijk dat het wel werkt, vragen ze hem alle informatie die hij ook nog eens geeft en dan zeggen van ja maar je hebt het niet correct gedaan.... Facebook begon met niet correct te zijn door gewoon te betalen voor een gevonden bug.

En dan ook nog eens het lef hebben om te vragen of hij wel met ze wil blijven samenwerken... Acties als dit zorgen ervoor dat hackers dus dit soort dingen wel op de zwarte markt gaan brengen... Echt triest van facebook dat ze niet op zijn minst even een paar honderd dollar konden missen voor dit....

gassie123 @SRI • 18 augustus 2013 13:53

Hij krijgt geen geld omdat hij het "publiekelijk" heeft gemaakt.

Loller1 @gassie123 • 18 augustus 2013 14:04

En dat deed hij omdat Facebook deze bug niet serieus wou nemen en hem er ook niet voor beloonde en dit is toch echt wel een serieuze bug als je het mij vraagt.

Verwijderd @Loller1 • 19 augustus 2013 09:21

En dat deed hij omdat Facebook deze bug niet serieus wou nemen en hem er ook niet voor beloonde en dit is toch echt wel een serieuze bug als je het mij vraagt.

Het is natuurlijk niet duidelijk hoe serieus Facebook zijn melding nam (en hoe duidelijk zijn melding was). Er komen honderden, zo niet duizenden meldingen binnen bij Facebook over issues met de site en het kan best zijn dat het een tijdje duurt voor de ernst van de bug bij de ontvanger doordringt.

Als er niet direct een respons op komt kun je ook best nog een keer een mail sturen of op andere wijze navragen of je melding is binnengekomen en of de erst ervan duidelijk was.
Het account van Mark Zuckerberg bekladden is wel effectiever qua publiciteit maar is niet de geeigende weg en het lijkt me dan ook terecht dat er geen financiele beloning meer wordt gegeven.

eternal_flame @Verwijderd • 19 augustus 2013 10:15

Als ik zo de nieuwsberichten lees is er toch geruime tijd overheen gegaan waarin Facebook actie had kunnen ondernemen. Daarnaast neem ik aan dat de meldingen vrij snel worden doorgenomen en worden geprioriteerd. Wat ik lees heeft Facebook nadrukkelijk gezegd dat het hier 'niet om een bug zou gaan'.

Het feit dat deze ontwikkelaar het op het profiel van Mark Zuckerberg krijgt bewijst wat mij betreft het tegendeel wel, al denk ik inderdaad ook dat het de meest gepaste actie is.

Ik blijf het wel triest vinden dat ze dan vervolgens zo omgaan met de ontwikkelaar, gewoon zijn account dichtgooien en afdwingen dat hij alsnog laat weten hoe het precies in zijn werk gaat, als het aan mij lag had ik Facebook toch verzocht het mailtje van toen maar op te zoeken.

Verwijderd @eternal_flame • 19 augustus 2013 11:14

Wat ik lees heeft Facebook nadrukkelijk gezegd dat het hier 'niet om een bug zou gaan'.

Dat isn iet verbazend omdat hij nergens goed beschijft wat de bug zou zijn.
Hij geeft bijvoorbeeld dat hij kan posten op de wall van nie-vrienden. Dat is echter gewoon standaard facebook functionaliteit.
Hij geeft niet aan dat hij kan posten op account waarvan de wall expliciet is afgesloten voor het publiek.

Verder refereert hij aan de beloningssite van Facebook maar negeert hij belangrijke punten die daar genoemt worden zoals het niet publiceren op bestaande accounts en het gebruiken van test accounts en mist hij duidelijk reproduceerbare stappen in zijn mail waarmee iemand die de mail leest duidelijk jkan zien wat hij nu eigenlijk bedoeld.

En zo moeilijk is het niet om dat duidelijke stappen aan te geven:

Open test acount A
Blokkeer de wall van account A in de setting voor iedereen behalve virenden
Open test account B
Probeer normale post op Wall van A (met foutmelding) zodat bevestigd is dat de account normaal niet bereikt kan worden.
Probeer exploit met post op Wall testaccount A met sucesvol resultaat

[Reactie gewijzigd door Verwijderd op 23 juli 2024 07:32]

SuperDre @Loller1 • 18 augustus 2013 19:33

maarja, hij had het ook kunnen tonen zonder het echt zo publiekelijk te doen.

purrple @SuperDre • 19 augustus 2013 08:00

dat had hij gedaan en werd niet serieus genomen

NSG @gassie123 • 18 augustus 2013 16:19

Dat publiekelijk maken deed hij pas nadat hij niet serieus werd genomen door het beveiligingsteam van facebook!

WhatsappHack

Netwerk en systeembeheer
Websites en community's
Facebook

@IStealYourGun • 18 augustus 2013 13:14

Het zou me niets verbazen als hij dat in de toekomst ook gaat doen. Ik bedoel, waarom niet? Facebook behandelt hem als vuil, jat z'n details en zegt dan pas dat ze hem niet betalen... Nou, laat ze maar lekker de shit krijgen dan

Ik zou ze niet nog eens helpen.

mad_max234 @WhatsappHack • 18 augustus 2013 19:38

Ik zou het zeker niet meer melden, maar om dan ervoor te kiezen om je eigen leven ook in gevaar te brengen door je in te laten met bepaalde mensen die strafbare zaken doen met zo bug lijkt me ook niet echt frisse gedachte!

Normen en waarde zijn echt aan zinken lijkt het wel, word zo makkelijk gedaan over zaken die toch echt strafbaar zijn en die je leven behoorlijk overhoop kunnen halen als het niet uitkijkt. Voor dat je het weet ben je medeplichtig voor hoop schadegeld! Leuk even watt systemen overhoop halen, alleen als ze de kosten dan op je komen verhalen heb je jaren ernaar nog spijt.

WhatsappHack

Netwerk en systeembeheer
Websites en community's
Facebook

@mad_max234 • 19 augustus 2013 03:15

Jep, dat is het risico.
Maar dan moet je je wel bedenken... In de Verenigde Staten zijn de wetten nogal streng.
Facebook kan je zo aanklagen als ze willen, zelfs als je t whitehat doet.
Dus dat kosten verhalen, dat kan nu ook al.

Zo nu ook, hij heeft de guidelines overschreden en heeft PR schade toegebracht door t op Zuckerberg te doen. Daar kunnen ze hem gewoon voor aanklagen, hoe nobel de daad ook was.

En dan moet je je afvragen, doe je liever anoniem zaken met de onderwereld; of wil je te maken hebben met een overheid die er niet om bekend staat erg IT vriendelijk te zijn? Zeker niet ten opzichte van klokkenluiders...
Als je betaald wilt worden door Facebook kan je niet anoniem zijn, als je zaken wil doen met criminelen kan dat op het gebied van internet wel. Laat je zelf eventueel zelfs in bitcoins betalen bijvoorbeeld.

Het is denk ik kiezen tussen twee uitersten, bij beiden ben je niet veilig.
Maar welke verkies je dan? En wie betaald er beter? En bij wie loop je t minste risico?

Dus ja, er wordt zeker luchtig over gedaan, maar ik denk dat dat toch deels komt omdat je je vrijheid ook niet zeker bent als je een Amerikaans bedrijf hacked. Whitehat of niet...

Verwijderd @WhatsappHack • 19 augustus 2013 11:17

Facebook kan je zo aanklagen als ze willen, zelfs als je t whitehat doet.

Niet dus omdat ze een belofte doen iemand niet te vervolgen als die zich houdt aan een set duidelijke stappen.
Stappen die trouwens door deze persoon zijn genegeerd.

biglia 18 augustus 2013 12:33

Zou het misschien komen door zijn gebrekkig Engels dat hij niet serieus wordt genomen? Waarschijnlijk heeft hij net als in de video ook niet alle details verteld. Die video kan dan even goed fake zijn. Ik denk dat Facebook zo wel dagelijks meldingen binnenkrijgt.

[Reactie gewijzigd door biglia op 23 juli 2024 07:32]

Verwijderd @biglia • 18 augustus 2013 12:40

Jaja, en als iemand perfect engels spreekt neemt Facebook het serieus en gaat meteen op onderzoek uit?

Facebook zal alle meldingen die binnenkomen serieus moeten nemen. Een goeie melding met uitleg/documentatie uiteraard. Aan de hand daarvan is het makkelijk na te gaan of hetgeen gemeld is ook daadwerkelijk klopt.

purrple @Verwijderd • 19 augustus 2013 09:30

ik denk dat biglia wel een punt heeft. Hoeveel nepmeldingen / spam krijgen die gasten op een dagelijkse basis binnen? Tuurlijk moeten ze verder kijken dan hun neus lang is, maar redelijk Engels typen helpt wel

dasiro @biglia • 18 augustus 2013 13:03

alsof ze bij facebook niemand hebben rondlopen die arabisch kan, want ze zijn maar met 4 ontwikkelaars

Iblies

Facebook

@dasiro • 18 augustus 2013 14:37

De kans is relatief klein.

Er bestaat namelijk geen Arabië, er is verschil tussen Arabisch, moslims spreken niet altijd Arabisch, en om het nog wat complexer te maken, moslims zijn niet allemaal hetzelfde door de grote hoofdstromingen van sjiieten en soennieten.

Als dit werkelijk een gevalletje lost in translation dan is Facebook als organisatie is bij lange na niet in orde om berichten met een bepaalde strekking door te sturen naar de juiste afdeling.

Ernemmer 18 augustus 2013 12:32

Het geld wat je krijgt voor het niet publiek maken van een bug is natuurlijk ook een stukje betaling zodat de goede naam van Facebook niet beschadigd wordt.

watercoolertje @Ernemmer • 18 augustus 2013 13:10

Klopt maar ze wouden niet luisteren toen de bug wel op de nette manier werd gemeld, dus dan heb je in de ogen van veel mensen denk ik toch recht op de vergoeding...

A4553 18 augustus 2013 12:49

Als er zo wordt omgegaan met bug/exploit reports verbaast het mij eerlijk gezegd nauwelijks meer dat er regelmatig privégegevens uitlekken.
Het bewijst tevens hoe men daar blijkbaar omgaat met de beveiliging van Facebook.

Verwijderd @A4553 • 18 augustus 2013 13:28

De realiteit is (helaas) dat het ook weinig uitmaakt. Mochten er morgen 10 miljoen privé berichten uitlekken dan zullen de tech bloggers etc. er schande van spreken, Facebook zal een berichtje plaatsen dat de FBI het onderzoekt en de gemiddelde gebruiker Facebookt vrolijk verder.

Op dit item kan niet meer gereageerd worden.

Ontwikkelaar demonstreert Facebook-bug via account Mark Zuckerberg

Lees meer

IT-banen

Reacties (85)

Sorteer op:

Weergave: