Relatório livre: Avere FXT com FlashMove e FlashMirror
Um estudante palestino de TI que avistou uma séria falha de segurança no código do Facebook - mas foi negado o pagamento para ele e arrancado fora da rede social - poderia estar recebendo o máximo de US $ 10.000 depois de membros da comunidade de segurança se reuniram em torno e criar um fundo de compensação online.
Khalil Shreateh encontrado um bug que permitia que um atacante para postar imagens na página Facebook de alguém, e relataram que a equipe de segurança da empresa duas vezes. Inicialmente, a equipe de segurança do Facebook negou que era um problema, então ele demonstrou o hack por postar uma imagem na página de Mark Zuckerberg e um post no blog explicando como ele fez isso.
Isto imediatamente chamou a atenção de Facebook ea equipe de segurança entrou em contato com ele para obter os detalhes completos sobre o bug. No entanto, eles também informou ele (corretamente) que ao publicar a imagem que ele tinha quebrado Termos e Condições do Facebook e seria tanto ejetado do Facebook e negou os US $ 500 que a empresa paga normalmente como uma recompensa bug, como explica do Facebook Matt Jones em um postagem nos fóruns de Hacker News.
"A fim de se qualificar para um pagamento que você deve" fazer um esforço de boa fé para evitar violações de privacidade 'e' usar uma conta de teste em vez de uma conta real quando se investiga os erros. Quando você é incapaz de reproduzir um bug com uma conta de teste, é aceitável usar uma conta real, exceto para testes automatizados. não interagem com outras contas sem o consentimento de seus proprietários "," Jones escreveu.
"Infelizmente, o OP fez nenhuma dessas coisas. Saudamos e irá pagar por futuros relatórios de ele (e qualquer outra pessoa!) Se eles são encontrados e demonstrou dentro dessas diretrizes."
Esta foi preso no craw de muitos na indústria de segurança, e Marc Maiffret, CTO da empresa de segurança e conformidade BeyondTrust, configurar um apelo on-line para compensar o estudante palestino. O objetivo era uma doação de US $ 10.000, eo fundo já arrecadou 9.140 dólares em menos de 24 horas e tende a atingir facilmente o seu alvo.
"Khalil Shreateh encontrado uma vulnerabilidade no Facebook.com e, devido à falta de comunicação, não foi agraciado com um prêmio por seu trabalho", disse Maiffret. "Vamos todos enviar uma mensagem para os pesquisadores de segurança em todo o mundo e dizer que nós apreciamos os esforços que eles fazem para o bem de todos."
Em um post no blog , chefe de segurança oficial do Facebook, Joe Sullivan pediu desculpas a Shreateh e disse que a empresa vai mudar a forma como ele lida com relatórios de bugs, à luz do caso. Sullivan disse que a equipe iria melhorar suas diretrizes de submissão de erros e reforçar os seus procedimentos e-mail.
"Eu revi a nossa comunicação com este pesquisador, e eu entendo sua frustração. Ele tentou relatar o bug de forma responsável, e nós falhamos em nossa comunicação com ele", disse Sullivan. "Recebemos centenas de pedidos por dia, e apenas uma pequena percentagem dos que acabam por ser os erros legítimos. Como resultado, fomos demasiado apressada e indiferente neste caso."
Mas Sullivan estava junto a decisão de não entregar o aluno qualquer recompensa pelo seu erro, alegando que ele havia comprometido a segurança ou privacidade de outras pessoas (ou seja, o CEO Mark Zuckerberg), mas adicionar ele ficaria feliz em pagar por outros, devidamente apresentados relatórios de bugs. ®
Nenhum comentário:
Postar um comentário