Facebook : il pirate le compte de Mark Zuckerberg pour signaler une faille de sécurité
Et perd au passage sa récompense
Le 2013-08-19 15:14:23, par Cedric Chevalier, Expert éminent sénior
Aucun logiciel informatique n’est exempt de bogues et il n’existe pas de sécurité parfaite. Les grosses firmes informatiques comme Google ou encore Facebook dépensent des sommes importantes dans des programmes permettant aux hackers de révéler des vulnérabilités qu’ils auraient découvertes dans leurs produits.
Khalil Shreateh est le chercheur en sécurité d’origine palestinienne qui a découvert une vulnérabilité dans le célèbre réseau social, permettant à un hacker de poster des messages sur le mur privé de ses victimes sans pour autant être dans leur liste d’amis.
Le chercheur, plusieurs fois, a contacté les ingénieurs responsables de la sécurité de Facebook, sans succès. « Nous sommes désolés, mais ceci n’est pas un bogue », recevra-t-il comme réponse de ceux-ci.
Pour se faire entendre, il a dû poster, sur le mur privé de Mark Zuckerberg, un message dans lequel il présente la vulnérabilité et explique ses déboires avec l’équipe de sécurité.
Il finit par avoir gain de cause. La vulnérabilité a été corrigée. Cependant, Facebook refuse de l’indemniser parce qu’il n’aurait pas respecté les termes de la politique de divulgation des vulnérabilités de l’entreprise. Khalil aurait posté des messages sur des murs privés d’utilisateurs sans leurs permissions.
D’après Matt Jones, ingénieur en sécurité chez Facebook, pour divulguer une faille, il faut dans un premier temps avoir un compte de «white Hat» (chercheur en sécurité qui rend publiques les failles des logiciels) et ensuite pour le «Proof of Concept» (démonstration de la vulnérabilité), ne pas se servir de comptes réels d’utilisateurs sans leur permission.
Source : BBC
Et vous ?
Êtes-vous d'accord avec Facebook dans sa décision de ne pas rémunérer le chercheur ? Pourquoi ?
Khalil Shreateh est le chercheur en sécurité d’origine palestinienne qui a découvert une vulnérabilité dans le célèbre réseau social, permettant à un hacker de poster des messages sur le mur privé de ses victimes sans pour autant être dans leur liste d’amis.
Le chercheur, plusieurs fois, a contacté les ingénieurs responsables de la sécurité de Facebook, sans succès. « Nous sommes désolés, mais ceci n’est pas un bogue », recevra-t-il comme réponse de ceux-ci.
Pour se faire entendre, il a dû poster, sur le mur privé de Mark Zuckerberg, un message dans lequel il présente la vulnérabilité et explique ses déboires avec l’équipe de sécurité.
Il finit par avoir gain de cause. La vulnérabilité a été corrigée. Cependant, Facebook refuse de l’indemniser parce qu’il n’aurait pas respecté les termes de la politique de divulgation des vulnérabilités de l’entreprise. Khalil aurait posté des messages sur des murs privés d’utilisateurs sans leurs permissions.
D’après Matt Jones, ingénieur en sécurité chez Facebook, pour divulguer une faille, il faut dans un premier temps avoir un compte de «white Hat» (chercheur en sécurité qui rend publiques les failles des logiciels) et ensuite pour le «Proof of Concept» (démonstration de la vulnérabilité), ne pas se servir de comptes réels d’utilisateurs sans leur permission.
Source : BBC
Et vous ?
-
pmithrandirExpert éminentIl les as méchamment vexé je pense...
Ils sont plutôt stupide... pour économiser 10 000$, ils vont se priver de bonnes volontés dans le futur.
Si je trouve un bug quelque part, je suis déjà bien gentil de passer du temps a le trouver, puis a le signaler...
Faut pas en plus m’embêter avec des process qui me feront perdre du temps...le 19/08/2013 à 16:13 -
tontonnuxMembre expérimentéle 21/08/2013 à 11:35
-
Traroth2Membre émériteDonc, si on résume, chez Facebook, si vous suivez la voie officielle pour rapporter une vulnérabilité, on vous envoie chier en vous disant que vous délirez, et si on vous imposez la réalité de la vulnérabilité aux yeux de tous de manière évidente, on vous envoie chier en disant que c'est pas bien. En gros, on vous envoie toujours chier si vous voulez rapporter une vulnérabilité, quoi...
VAAACHEMENT intéressant, leur programme de récompense...
Déjà que 500$, c'est pas lourd, mais si en plus c'est impossible de les toucher, en réalité, je ne vois pas pourquoi quelqu'un prendrait la peine de les aider...
Concrètement, les reproches que lui fait Facebook aujourd'hui sont ridicules, en plus d'être franchement hypocrites : il n'a rien fait de bien grave, avec cette vulnérabilité. Je pense que le mot qu'ils cherchent est "merci"...le 20/08/2013 à 11:14 -
Paul TOTHExpert éminent séniord'après
qu'il a fait sur l'exploit je dirais que la faille consistait tout simplement à remplacer un champ caché dans le formulaire web. Ce qu'on peut faire avec n'importe quel navigateur digne de ce nom.
il n'a pas à proprement parler utilisé un compte tierces, il a récupéré par l'API Facebook un ID qu'il a placé dans un formulaire web...
d'ailleurs je viens de regarder dans une page FaceBook, le formulaire pour poster un commentaire (/ajax/updatestatus.php) contient bien l'ID (parent_fbid) de l'émetteur dans le champ "clp". Je suppose qu'ils avaient oublié dans le script de vérifier que l'auteur est bien celui qu'il prétend être.
ça me rappelle le site web d'une société qui se disait spécialisée dans le développement web et qui propose des espaces de collaboration (il y a des années de cela)...quand j'ai vu que le champ "mot de passe" était de type "text" et non "password" ça m'a surpris...mais quand j'ai vu que l'url de la page était "compte.php?id=128", je me suis demandé ce que ça ferait de mettre 127 en id...et bingo je suis tombé sur le compte d'une autre personne avec son mot de passe en clairle 20/08/2013 à 19:56 -
ptah35Membre éclairéUne manière efficace de faire disparaître totalement une grosse tache blanche sur un chapeau noir... la prochaine fois, il trouvera certainement des gens prêts à reconnaître son travail à sa juste valeur, mais pas forcément pour le bien de tous...le 19/08/2013 à 16:34
-
ZIEDMembre habituéIl les a surement vexé...
En plus c'est un palestinien! Donc pourquoi le récompenser?? c'est déjà bien qu'il n'est pas mis en prison!!le 19/08/2013 à 16:59 -
minnesotaMembre éméritePour moi c'est ce qui pouvait lui arriver de mieux, le petit en recherche d'emploi vient de se faire un nom... une "annonce publicitaire" sans équivoque sur tous les médias du monde entier...
Pour une fois que Facebook sert à quelque chose...En même temps ils peuvent se les garder leurs 500 malheureux euros, une promo comme ça vaut infiniment plus, infiniment plus... le 20/08/2013 à 13:56 -
transgohanExpert éminentUn opérateur sans aucun droit sur le logiciel ? C'est comme un mécanicien sans outils pour réparer votre voiture...le 20/08/2013 à 8:29
-
Derf59Membre actif[MODE JOKE ON]
En plus un "palestinien" qui pirate un compte d'une personne influente d'origine "juive", il cherche les problèmes, c'est pas la prison qu'il risque d'obtenir c'est une visite d'un missile ou du mossad LOL
[MODE JOKE OFF]le 20/08/2013 à 9:58 -
tontonnuxMembre expérimentéFacebook propose un lien qui permet de poster ce genre d'alerte. Il s'en est servi, non pas pour expliquer ce qu'il avait trouvé, mais pour dire qu'il avait trouvé quelque chose et qu'il s'en était servi.
Si au lieu d'exploiter directement la faille sur le compte de quelqu'un, il avait décrit sa découverte en expliquant la procédure pour y parvenir, il n'y aurait eu aucun souci et il aurait eu sa "récompense".
Découvrir une faille et l'exploiter sont deux choses distinctes.le 20/08/2013 à 10:19