mercoledì 21 agosto 2013

Hacker mette in imbarazzo Facebook, annunciato update Bug Bounty


Per prima cosa vuole chiarire che fa il programmatore e non l'hacker. Khalil Shreateh, palestinese di 30 anni, è l'uomo che ha beffato Facebook, portando alla luce un grosso bug che permetteva a chiunque di scrivere sulle bacheche degli altri utenti, anche senza essere fra i loro contatti. "È molto pericoloso - dice - perché consente di pubblicare annunci pubblicitari o altro sulle bacheche personali, senza permesso e senza pagare Facebook". 

Lui ha segnalato più volte il problema, ma non ha mai avuto risposta così ha deciso di passare all'azione. E' bastato scrivere un post, ma sulla bacheca giusta, quella del fondatore del social network. "Caro Mark Zuckerberg mi dispiace aver violato la tua privacy, ma non avevo altra scelta" ha scritto, spiegando poi nel dettaglio il bug. Gli ci è voluto meno di un minuto e a quel punto Facebook è intervenuto eliminando l'errore. 

Ora gli spetterebbe la ricompensa promessa a chiunque risolva un problema tecnico, ma non l'avrà perché è accusato di aver violato la privacy di un utente. "Io ho davvero bisogno di quei soldi. Non trovo lavoro da due anni, qui è difficile" lamenta Khalil che abita in Cisgiordania, vicino Hebron, zona in cui la disoccupazione tocca il 22% e colpisce soprattutto i giovani. Per ora è diventato una celebrità locale e ha avuto qualche offerta di scarso interesse. Chissà che non arrivi una chiamata direttamente da Facebook. 

Khalil ha dettagliato la situazione e fornito i link, e pochi minuti dopo un ingegnere di Facebook lo ha contattato per ulteriori informazioni, bloccando il suo account "per precauzione" fino a quando è stato risolto il bug. Il profilo di Khalil è stato riattivato, ma non sarà possibile ottenere una ricompensa per trovare il bug, perché il suo hack della bacheca di Zuckerberg è considerata una violazione dei termini di servizio di Facebook

Il bug è stato risolto rapidamente e Facebook ha rilasciato delle scuse Lunedi per essere stato "troppo frettoloso e sprezzante" con il rapporto di Shreateh. "Non cambieremo la nostra pratica di rifiuto di pagare i premi ai ricercatori che hanno testato le vulnerabilità nei confronti di utenti reali", ha detto il Chief Security Officer Joe Sullivan in un blogpost. "Riceviamo centinaia di proposte di un giorno, e solo una piccola percentuale di coloro che si rivelano sono bug legittimi". 

"Dovremmo avere spiegato a questo ricercatore che i suoi messaggi iniziali a noi non ci hanno dato abbastanza dettagli per permetterci di replicare il problema. La ripartizione qui non si trattava di una barriera linguistica o di una mancanza di interesse - è stato solo a causa della mancanza di dettaglio fatto sembrare ancora un altro rapporto utente dispersa", ha aggiunto.

"Faremo due modifiche a seguito di questo caso: (1) Miglioreremo il nostro messaggistica e-mail per assicurarsi che chiaramente articolare ciò che abbiamo bisogno di validare un bug, e (2), noi aggiorneremo la nostra pagina whitehat con ulteriori informazioni sui modi migliori per presentare un bug report". Sullivan ha detto che Facebook ha pagato più di 1 milione di dollari nell'ambito del programma whitehat per i ricercatori che hanno seguito le sue regole.


Fonte: TMNews
Via: Reuters

Nessun commento:

Posta un commento

Related Posts Plugin for WordPress, Blogger...