Facebook ville ikke lytte: Sikkerhedsekspert udnyttede hul til at skrive på Zuckerbergs væg

Illustration: leowolfert/Bigstock
Facebook tilbyder belønning til dem, der gør opmærksom på sikkerhedshuller. I dette tilfælde afviste Facebook i første omgang, at der var en fejl, og så gik anmelderen til øverste instans.

Et sikkerhedshul i Facebooks webapplikation gjorde det muligt for en vilkårlig bruger at lægge indhold op på en vilkårlig anden brugers væg. Også selvom det ikke burde være muligt ifølge privatlivsindstillingerne. Men da palæstinensiske Khalil Shreateh forsøgte at gøre Facebook opmærksom på sikkerhedshullet, blev han blot afvist.

Det fik ham til at svare til Facebook, at han måtte udnytte hullet til at lægge en besked på Facebook-stifter Mark Zuckerbergs private væg. Som sagt så gjort, og det fik Facebook til at reagere prompte med en lukning af Khalil Shreatehs Facebook-konto, beretter Khalil Shreateh på sin blog.

Facebook tilbyder ligesom mange andre store it-firmaer belønning til dem, der på forsvarlig vis gør opmærksom på sikkerhedshuller. Khalil Shreateh havde forsøgt at kontakte Facebooks Whitehat-program, men fik i første omgang blot svar om, at fejlen ikke kunne genskabes.

Da Khalil Shreateh svarede, at de ikke kunne se, at det virkede, hvis de ikke havde adgang til at se en persons væg, fik han at vide, at der ikke var tale om et sikkerhedshul.

Da han efterfølgende demonstrerede sikkerhedshullet på Mark Zuckerbergs Facebook-væg, blev han kontaktet af en udvikler fra Facebook, som ønskede flere oplysninger.

I første omgang lukkede Facebook Khalil Shreatehs konto, men efter en ny dialog med Whitehat-holdet, fik han genåbnet sin konto med besked om, at Facebook ikke ville udbetale en belønning, fordi afsløringen ikke var foregået på ansvarlig vis.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Pedersen

Det var jo netop på ansvarlig vis. Han forsøgte at kontakte deres whitehat program men er ikke blevet taget seriøst. Nu ved jeg ikke hvad ordlyden af beskeden på Hr. Zuckerbergs væg har været, men så længe det ikke har været noget ondt eller noget som kunne skade forretningen, så synes jeg at de burde sende en formel undskyldning og give ham den belønning han fortjener - og nej, det er ikke 30 dage i spjældet, det er kontant udbetaling på lige fod med andre indberetninger.

Havde han blot gjort det uden først at forsøge at råbe vagt i gevær, så havde det været fair at tage denne her reaktion, men når han forsøgte sig på lovlig vis først, men ikke kunne komme igennem til nogle der lyttede, så værsgo.

  • 18
  • 2
David Rechnagel Udsen

Nu har jeg læst den oprindelige kilde to gange. Og på intet tidspunkt fortæller han hvordan han udnytter sårbarheden. I de mails han skriver til Facebook fortæller han resultatet af fejlen, hvor han fremlægger bevismateriale som de ikke kan se (da de ikke er venner med Sarah Goodin[0]), men ikke hvordan den rent faktisk udføres. Eller kort sagt; der mangler teknisk information. Han skriver sågar:

i replay back that facebook report page has a " prove concept " and i cant prove without sending pictures or video . that is bullshit

Nej, det er ikke tyrelort, det må man vel forvente, hvis man vil blive taget seriøst.

Han viser dette svar, men hans engelsk er ret dårligt, og 'i can post to mark wall' kan betyde hvad som helst. Hvad han mener at han vil skrive på Mark Zuckerbergs væg[1]. Men 'mark' betyder altså også noget andet på engelsk.

Men grundlæggende tror jeg hans problem er hovedsagligt hans engelsk, derefter hans manglende tekniske information.

Kort sagt: Jeg mener ikke at en undskyldning er på sin plads.

[0] I øvrigt synes jeg det er vildt usympatisk at skrive på en tilfælde persons væg, bare fordi hun gik i skole med Zuckerberg. For det alene, kan jeg godt forstå Facebooks reaktion. Han burde have oprettet en testkonto, som ikke var venner med ham selv for at fremvise det. [1] Jeg tror også man skal man passe på med bare at referere til Mark Zuckerberg som 'Mark', selvom man taler med Facebook-udviklere. Det viser en form for professionalisme.

  • 9
  • 4
David Rechnagel Udsen

Nu har jeg set videoen han har postet. Sjovt nok skjuler han i selve videoen den præcise sårbarhed, men jeg har udfra hvad han gør kommet med et godt gæt:

Skaf en tilfældig brugers ID (via http://graph.facebook.com/).

Ændre HTML-formularens indhold når man er ved at oprette en besked, til at sende ens besked til den bruger-ID.

Send.

(Jeg vil bare lige pointere at denne fejl ikke er svær at beskrive uden en video.)

  • 2
  • 0
Log ind eller Opret konto for at kommentere