Feltörték a Facebook tulaj oldalát (DEHOGY!!!)

A napokban egy érdekes cikk járta be a netet: Egy palesztin hacker feltörte Mark Zuckerberg Facebook fiókját. Nem kicsit szenzációhajhász a megfogalmazás, mert azért nem egészen ez történt: A "hacker" egyszerűen kihasznált egy biztonsági hibát, aminek segítségével olyan személyek oldalára is lehet posztolni, akik nem az ismerőseink, így ő Mark Zuckerberg oldalára ki tudta tenni a biztonsági hiba létezéséről szóló posztját...

De hogyan is történt ez az egész?

Khalil Shreateh, egy palesztin fejlesztő felfedezett egy biztonsági hibát a Facebook-on, amelyet jelentett is az oldalon direkt erre a célra kialakított rendszeren keresztül. Érthetetlen oknál fogva a hibajelzést fogadó ügyintéző nem vette komolyan ezt a hibát és egy "I am sorry this is not a bug." - vagyis "Elnézést, de ez nem hiba" üzenettel válaszolt...
Történt már korábban olyan veled, hogy valakinek pusztán jóindulatból próbáltál segíteni, de valamilyen oknál fogva ezt az önzetlen segítségnyújtásodat támadásnak vették? Itt is valami hasonlót tudok elképzelni. Khalil erre a válaszra még visszaírt egy olyat, miszerint akkor kénytelen direktben Mark Zuckerbergnek jelezni a hibát.

És meg is tette.

Fogta és egy teljesen normális, offenzívnek egyáltalán nem nevezhető posztot helyezett ki Mark oldalára...

Nem sokkal ezután a Facebook egy másik biztonsági szakértője kereste meg Khalil-t és kérte meg további tájékoztatásra a hibát illetően. És ezzel együtt letiltották a srác profilját, "biztonsági okokra" hivatkozva...

A hibát azóta javították és Khalil fiókját is újra engedélyezték. A dolognak viszont van egy szépséghibája: A jelentett és valós hibák minden esetben 500 dollár jutalommal járnak. Azonban Khalil azzal, hogy kiposztolta azt az üzenetet Zuckerberg oldalára, megszegte a Facebook egyik szabályzatát, így nem jogosult a jutalomra...
Nem tudom, a Facebook miért így reagált erre a helyzetre, de ezzel sokkal inkább azt erősítik, hogyha talál valaki egy hibát, akkor azt inkább más irányba, akár pénzért továbbárulja, minthogy megossza a Facebook-kal... Aki ráadásul nem is foglalkozik vele, még akkor sem, ha náluk van az információ...

A Facebook nagy öngólt rúgott ezúttal. A helyes eljárás a biztonsági ügyintézők felelősségre vonása és a hibát jelző "hacker" díjazása lett volna, ezáltal bizalmat adva a jóakaró hackereknek és némi fegyelmezés a mára talán már rutinból (vagyis rossz hozzáállással) dolgozó biztonsági kérdésekkel foglalkozó munkatársai számára.

Az eset még elég friss, ha a Facebook vezetősége átgondolja a helyzetet mégegyszer, talán változik a véleményük és inkább hálásak lesznek a jelzett hibákért (rendszer és ügyintézői hibák) és felhagynak ezzel a kevésbé szimpatikus helyzetkezeléssel.

UPDATE: Az Index.hu információi alapján mégis kapott pénzt a hacker.

"Marc Maiffret, a BeyondTrust nevű biztonsági cég egyik vezére viszont úgy döntött, 10 ezer dollárt (2,2 millió forintot) gyűjt a férfinak. Kedden eddig ebből 9 ezer gyűlt össze, ebből 2 ezret ő adományozott.
Szerinte, és más hekkerek szerint a Facebook igazságtalanul zárja ki a legalább 500 dolláros, biztonsági résekért járó Bug Bounty programból a hekkert. „Ott ül Palesztinában, és az ötéves laptopján dolgozik, aminek ráadásul úgy néz ki, a fele törött. Szeretnék neki segíteni, nagyobb léptékben”."

Elismerés Marc Maiffret-nek, úgy látszik ő érti a lényeget...

Kövess minket!