Discussion :

[Traroth2]

Donc, si on résume, chez Facebook, si vous suivez la voie officielle pour rapporter une vulnérabilité, on vous envoie chier en vous disant que vous délirez, et si on vous imposez la réalité de la vulnérabilité aux yeux de tous de manière évidente, on vous envoie chier en disant que c'est pas bien. En gros, on vous envoie toujours chier si vous voulez rapporter une vulnérabilité, quoi...

VAAACHEMENT intéressant, leur programme de récompense...

Déjà que 500$, c'est pas lourd, mais si en plus c'est impossible de les toucher, en réalité, je ne vois pas pourquoi quelqu'un prendrait la peine de les aider...

Concrètement, les reproches que lui fait Facebook aujourd'hui sont ridicules, en plus d'être franchement hypocrites : il n'a rien fait de bien grave, avec cette vulnérabilité. Je pense que le mot qu'ils cherchent est "merci"...

[provectio]

Toi, tu vas avoir des problèmes!!!

[Charvalos]

Facebook propose un lien qui permet de poster ce genre d'alerte. Il s'en est servi, non pas pour expliquer ce qu'il avait trouvé, mais pour dire qu'il avait trouvé quelque chose et qu'il s'en était servi.
Si au lieu d'exploiter directement la faille sur le compte de quelqu'un, il avait décrit sa découverte en expliquant la procédure pour y parvenir, il n'y aurait eu aucun souci et il aurait eu sa "récompense".

Découvrir une faille et l'exploiter sont deux choses distinctes.

Je suis bien d'accord avec toi mais là, le problème est qu'il l'a signalé plusieurs fois via le lien mais qu'à chaque fois, ils lui ont répondu que ce n'était pas un bug (ce qui n'est pas le cas, apparemment).

EDIT : d'ailleurs, Facebook reconnaît qu'il est en tort (source)

[minnesota]

Pour moi c'est ce qui pouvait lui arriver de mieux, le petit en recherche d'emploi vient de se faire un nom... une "annonce publicitaire" sans équivoque sur tous les médias du monde entier...

Pour une fois que Facebook sert à quelque chose... En même temps ils peuvent se les garder leurs 500 malheureux euros, une promo comme ça vaut infiniment plus, infiniment plus...

[tontonnux]

Je suis bien d'accord avec toi mais là, le problème est qu'il l'a signalé plusieurs fois via le lien mais qu'à chaque fois, ils lui ont répondu que ce n'était pas un bug (ce qui n'est pas le cas, apparemment).

EDIT : d'ailleurs, Facebook reconnaît qu'il est en tort (source)

Non, non, il avait bien exploité la faille dès le départ puisqu'il comptait baser sa démonstration sur le fait qu'il a réussi à poster sur le mur d'une certain Sarah.
Il a bel et bien commencé par exploiter la faille avant de prévenir. Le hack du mur de Zuckerberg était sa seconde exploitation (du moins de ce que l'on sait).

[pghislain]

Ça sent la mauvaise foi.

[Paul TOTH]

La recompense de Facebook, c'est $500, pas 10 000.


Et sinon, la question est de savoir si, pour reveler une faille, tu as le droit d'utiliser des moyens illegaux (utilisation de comptes tierces dans ce cas). FB dit que non, lui dit que oui.

C'est un debat vieux comme le monde, et ce n'est pas ce cas la qui va le resoudre.

d'après la vidéo qu'il a fait sur l'exploit je dirais que la faille consistait tout simplement à remplacer un champ caché dans le formulaire web. Ce qu'on peut faire avec n'importe quel navigateur digne de ce nom.

il n'a pas à proprement parler utilisé un compte tierces, il a récupéré par l'API Facebook un ID qu'il a placé dans un formulaire web...

d'ailleurs je viens de regarder dans une page FaceBook, le formulaire pour poster un commentaire (/ajax/updatestatus.php) contient bien l'ID (parent_fbid) de l'émetteur dans le champ "clp". Je suppose qu'ils avaient oublié dans le script de vérifier que l'auteur est bien celui qu'il prétend être.

ça me rappelle le site web d'une société qui se disait spécialisée dans le développement web et qui propose des espaces de collaboration (il y a des années de cela)...quand j'ai vu que le champ "mot de passe" était de type "text" et non "password" ça m'a surpris...mais quand j'ai vu que l'url de la page était "compte.php?id=128", je me suis demandé ce que ça ferait de mettre 127 en id...et bingo je suis tombé sur le compte d'une autre personne avec son mot de passe en clair

[Hinault Romaric]

Facebook : la communauté des Hackers se mobilise et offre 10 000 dollars à l’étudiant palestinien
privé de sa prime par la société

Khalil Shreateh, un étudiant palestinien, a piraté le compte de Mark Zuckerberg pour se faire entendre suite à plusieurs rejets des responsables de la sécurité de Facebook, ne voulant pas reconnaitre la faille signalée par celui-ci.

Le geste de Khalil Shreateh lui a fait perdre sa récompense. Facebook, bien qu’ayant reconnu et corrigé la vulnérabilité, estime qu’il n’aurait pas respecté les termes de la politique de divulgation des vulnérabilités de l’entreprise.

Un geste qui a cependant créé une certaine indignation auprès de la communauté des hackers, qui a décidé de récompenser Khalil Shreateh pour son geste.

Marc Maiffret, expert en sécurité et PDG de BeyondTrust, a lancé une campagne de collecte de fonds pour Shreateh : « Khalil Shreateh a trouvé une vulnérabilité dans Facebook.com et en raison des problèmes de communication, il n’a pas reçu de prime pour son travail. Envoyons tous un message aux chercheurs en sécurité à travers le monde, pour montrer que nous apprécions les efforts qu’ils font pour le bien de tout le monde ».

En 24 heures seulement, plus de 9 000 dollars ont été collectés. L’objectif des 10 000 dollars a été atteint peu de temps après.

Dans un billet de blog, Facebook a présenté ses excuses à Shreateh, reconnaissant avoir été un peu trop hâtif et s’engageant à améliorer la façon dont est gérée la signalisation des bogues.


Sources : la campagne de collecte des fonds sur GoFundMe, excuses de Facebook

[salve34]

En 24 heures seulement, plus de 9 000 dollars ont été collectés. L’objectif des 10 000 dollars a été atteint peu de temps après.

Dans un billet de blog, Facebook a présenté ses excuses à Shreateh, reconnaissant avoir été un peu trop hâtif et s’engageant à améliorer la façon dont est gérée la signalisation des bogues.

Comme quoi tout est bien qui finit bien

[tontonnux]

Marc Maiffret, expert en sécurité et PDG de BeyondTrust, a lancé une campagne de collecte de fonds pub pour Shreateh BeyondTrust...

[DelphiManiac]

tontonnux, expert en <quelque chose, ou pas> et PDG de <je ne sais quoi>, aurait pu lancé une campagne de collecte de fonds pour Shreateh... et n'aurais sûrement pas eu le même impact.

Tu peux remplacer tontonnux par DelphiManiac, le résultat aurait été le même. Je n'ai rien contre ta personne, mais plutôt contre ta correction remarque.

Il serait bien de ne pas voir le "mal" partout :/ Même sans parler de voir le "mal", il a eu cette idée, il l'a mise en place, tant mieux pour Shreateh

Il a sûrement profité de sa notoriété et de plus il a fait parler de lui, tant mieux pour lui, au moins un qui ne fait pas parler de lui pour rien.

[Pelote2012]

Pub ou pas, au moins ce chercheurs sera récompenser pour son travail.
Maintenant, avec un peu de chance, Facebook lui versera aussi la prime pour éviter une mauvaise image

[Anneau_Nymes]

Cela m'étonnerai grandement que les employés fb n'aient pas un accès avec aucune restriction..
comme dans les logiciels bancaires, selon l'équipe où tu te trouves tu as accès à des données que d'autres n'ont pas.
Bref, donc l'argument que le gars ne pouvait pas voir sur le mur de x ou y car il n'est pas amis est faut à mon avis..
Salutations