IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Facebook : un chercheur découvre une faille permettant d'effacer n'importe quelle photo
Il reçoit une prime de 12 500 dollars

Le , par Stéphane le calme

5PARTAGES

2  1 
Après la découverte de la faille sur la sécurité de Facebook du hacker Palestinien Khalil Shreateh, c'est au tour d'Arul Kumar de mettre le doigt sur une faiblesse du numéro un des réseaux sociaux.

Sur son blog, le chercheur en sécurité parle d'un bogue qui permettrait à n'importe qui de supprimer à peu près n'importe quelle photo de Facebook sans tenir compte de l'auteur de la publication. La faille se trouve précisément dans un des menus de paramétrage (Support Dashboard) qui permet à un utilisateur de voir l'état des rapports qu'il a envoyés pour examen (par exemple pour des profils ou photos inappropriés ou des spams). Elle est exploitable de n'importe quel navigateur, mobile compris.

Lors du processus, un lien est généré automatiquement et il provoquait la suppression automatique de l'image après un clic dessus. Arul Kumar avait donc trouvé le moyen d’envoyer cette requête à un autre destinataire et pouvait ainsi supprimer à volonté des photos diffusées sur le réseau social. Pour cela l’attaquant avait besoin de l’identifiant de la photo et de l’ID de l’utilisateur (disponible sur le Facebook Graph).

Les termes du programme White Hat de Facebook prévoient que ceux qui trouvent des failles dans la sécurité et suivent les règles de Facebook dans le rapport des bogues perçoivent une récompense. La récompense minimale est de 500 dollars et, en fonction du degré de sévérité de la faille, Facebook peut payer plus. La plupart des paiements de Facebook ont oscillé autour de 1 500 dollars. Pourtant Arul Kumar a reçu une récompense de 12 500 dollars pour sa recherche qui a permis à l'équipe de corriger la faille dans la sécurité, soit 25 fois la prime de base.

Source : blog Arul Kumar

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de pcaboche
Rédacteur https://www.developpez.com
Le 03/09/2013 à 19:36
Citation Envoyé par Stéphane le calme Voir le message
La plupart des paiements de Facebook ont oscillé autour de 1 500 dollars. Pourtant Arul Kumar a reçu une récompense de 12 500 dollars pour sa recherche qui a permis à l'équipe de corriger la faille dans la sécurité, soit 25 fois la prime de base.

Source : Blog Arul Kumar

Et vous ?

Qu'en pensez-vous ?
Mais il est con ! Il aurait mieux fait de ne rien dire à personne et de monter sa société qui, moyennant finances, permettrait de se débarrasser de photos comprométantes (ex : les photos de vos dernières beuveries, qui font tache quand on cherche un emploi). Il aurait pu gagner beaucoup plus que 12 500 dollars !
11  1 
Avatar de Lyons
Membre éclairé https://www.developpez.com
Le 03/09/2013 à 19:30
Ils veulent se racheter après le petit scandale qu'a créé l'affaire Khalil Shreateh
4  0 
Avatar de Zefling
Expert confirmé https://www.developpez.com
Le 04/09/2013 à 1:38
Wha !! Commence on peut laisser passer de genre de chose sans vérifications des droits côté serveur... C'est la base : ne jamais faire confiance à ce qui vient du client.
4  0 
Avatar de Mr_Exal
Membre expert https://www.developpez.com
Le 04/09/2013 à 9:18
Et pour une faille critique ils payent combien? Non parce que là ok c'est gênant mais pas critique non plus.
1  0 
Avatar de Carhiboux
Expert éminent sénior https://www.developpez.com
Le 04/09/2013 à 9:46
Citation Envoyé par Lyons Voir le message
Ils veulent se racheter après le petit scandale qu'a créé l'affaire Khalil Shreateh
Clairement!

Les prochaines reviendront à la normale, à moins que ce soit leur nouveau palier de primes. Ils pourraient quand même!
0  0 
Avatar de valucard
Membre du Club https://www.developpez.com
Le 04/09/2013 à 12:18
Pour la faille qui a été découverte par Khalil Shreateh et qui considéré comme très critique on ne paye rien et pour une telle faille qui ne semble pas faire des larmes 12500$, c'est trop. Heureusement que la communauté des Hackers s'est mobilisé pour lui ...
0  0 
Avatar de diallomad
Membre averti https://www.developpez.com
Le 04/09/2013 à 13:01
12 500 dollars, c'est encourageant. Facebook sait maintenant qu'il a le choix entre reconnaitre les failles et récompenser ou ignorer les failles et le monde entier les reconnaitra( après une exploitation publique). Il est préférable d'avoir les hackers de son coté que sur son dos
0  0 
Avatar de Pelote2012
Membre chevronné https://www.developpez.com
Le 10/09/2013 à 9:20
Oui oui ça sent quand même la tentative de faire oublier le précédent incident.
Mais bon le malheur des uns fais le bonheur des autres
0  0 
Avatar de Squisqui
En attente de confirmation mail https://www.developpez.com
Le 03/09/2013 à 20:03
Et pour 12.500$ Facebook se refait une image. Pas cher, non ?

Citation Envoyé par pcaboche Voir le message
Mais il est con ! Il aurait mieux fait de ne rien dire à personne et de monter sa société qui, moyennant finances, permettrait de se débarrasser de photos comprométantes (ex : les photos de vos dernières beuveries, qui font tache quand on cherche un emploi). Il aurait pu gagner beaucoup plus que 12 500 dollars !
En même temps, tout contenu doit pouvoir être signalé (et retiré). Donc pour une telle exploitation, la faille est bien inutile. La société ne fait que le ménage d'une personne qui aurait pu le faire elle-même.
0  1 
Avatar de lamdev69
Nouveau Candidat au Club https://www.developpez.com
Le 08/09/2013 à 11:52
je ne veut pas créer de polémique ici mais il ont payé 12500$ contrairement au palestinien à qui 500$ non jamais été versé lol mdr
0  1