Discussion :

[Charvalos]

Facebook propose un lien qui permet de poster ce genre d'alerte. Il s'en est servi, non pas pour expliquer ce qu'il avait trouvé, mais pour dire qu'il avait trouvé quelque chose et qu'il s'en était servi.
Si au lieu d'exploiter directement la faille sur le compte de quelqu'un, il avait décrit sa découverte en expliquant la procédure pour y parvenir, il n'y aurait eu aucun souci et il aurait eu sa "récompense".

Découvrir une faille et l'exploiter sont deux choses distinctes.

Je suis bien d'accord avec toi mais là, le problème est qu'il l'a signalé plusieurs fois via le lien mais qu'à chaque fois, ils lui ont répondu que ce n'était pas un bug (ce qui n'est pas le cas, apparemment).

EDIT : d'ailleurs, Facebook reconnaît qu'il est en tort (source)

[Paul TOTH]

La recompense de Facebook, c'est $500, pas 10 000.


Et sinon, la question est de savoir si, pour reveler une faille, tu as le droit d'utiliser des moyens illegaux (utilisation de comptes tierces dans ce cas). FB dit que non, lui dit que oui.

C'est un debat vieux comme le monde, et ce n'est pas ce cas la qui va le resoudre.

d'après la vidéo qu'il a fait sur l'exploit je dirais que la faille consistait tout simplement à remplacer un champ caché dans le formulaire web. Ce qu'on peut faire avec n'importe quel navigateur digne de ce nom.

il n'a pas à proprement parler utilisé un compte tierces, il a récupéré par l'API Facebook un ID qu'il a placé dans un formulaire web...

d'ailleurs je viens de regarder dans une page FaceBook, le formulaire pour poster un commentaire (/ajax/updatestatus.php) contient bien l'ID (parent_fbid) de l'émetteur dans le champ "clp". Je suppose qu'ils avaient oublié dans le script de vérifier que l'auteur est bien celui qu'il prétend être.

ça me rappelle le site web d'une société qui se disait spécialisée dans le développement web et qui propose des espaces de collaboration (il y a des années de cela)...quand j'ai vu que le champ "mot de passe" était de type "text" et non "password" ça m'a surpris...mais quand j'ai vu que l'url de la page était "compte.php?id=128", je me suis demandé ce que ça ferait de mettre 127 en id...et bingo je suis tombé sur le compte d'une autre personne avec son mot de passe en clair

[Hinault Romaric]

Facebook : la communauté des Hackers se mobilise et offre 10 000 dollars à l’étudiant palestinien
privé de sa prime par la société

Khalil Shreateh, un étudiant palestinien, a piraté le compte de Mark Zuckerberg pour se faire entendre suite à plusieurs rejets des responsables de la sécurité de Facebook, ne voulant pas reconnaitre la faille signalée par celui-ci.

Le geste de Khalil Shreateh lui a fait perdre sa récompense. Facebook, bien qu’ayant reconnu et corrigé la vulnérabilité, estime qu’il n’aurait pas respecté les termes de la politique de divulgation des vulnérabilités de l’entreprise.

Un geste qui a cependant créé une certaine indignation auprès de la communauté des hackers, qui a décidé de récompenser Khalil Shreateh pour son geste.

Marc Maiffret, expert en sécurité et PDG de BeyondTrust, a lancé une campagne de collecte de fonds pour Shreateh : « Khalil Shreateh a trouvé une vulnérabilité dans Facebook.com et en raison des problèmes de communication, il n’a pas reçu de prime pour son travail. Envoyons tous un message aux chercheurs en sécurité à travers le monde, pour montrer que nous apprécions les efforts qu’ils font pour le bien de tout le monde ».

En 24 heures seulement, plus de 9 000 dollars ont été collectés. L’objectif des 10 000 dollars a été atteint peu de temps après.

Dans un billet de blog, Facebook a présenté ses excuses à Shreateh, reconnaissant avoir été un peu trop hâtif et s’engageant à améliorer la façon dont est gérée la signalisation des bogues.


Sources : la campagne de collecte des fonds sur GoFundMe, excuses de Facebook

[salve34]

En 24 heures seulement, plus de 9 000 dollars ont été collectés. L’objectif des 10 000 dollars a été atteint peu de temps après.

Dans un billet de blog, Facebook a présenté ses excuses à Shreateh, reconnaissant avoir été un peu trop hâtif et s’engageant à améliorer la façon dont est gérée la signalisation des bogues.

Comme quoi tout est bien qui finit bien

[tontonnux]

Marc Maiffret, expert en sécurité et PDG de BeyondTrust, a lancé une campagne de collecte de fonds pub pour Shreateh BeyondTrust...

[Derf59]

[MODE JOKE ON]
En plus un "palestinien" qui pirate un compte d'une personne influente d'origine "juive", il cherche les problèmes, c'est pas la prison qu'il risque d'obtenir c'est une visite d'un missile ou du mossad LOL
[MODE JOKE OFF]

[pghislain]

Ça sent la mauvaise foi.

[Anneau_Nymes]

Cela m'étonnerai grandement que les employés fb n'aient pas un accès avec aucune restriction..
comme dans les logiciels bancaires, selon l'équipe où tu te trouves tu as accès à des données que d'autres n'ont pas.
Bref, donc l'argument que le gars ne pouvait pas voir sur le mur de x ou y car il n'est pas amis est faut à mon avis..
Salutations