Une vulnérabilité de Facebook signalée directement à Zuckerberg
Source: rt.com
Un expert en système d'information palestinien affirme qu'il a été contraint de publier un rapport de bug sur la page Facebook de Mark Zuckerberg après que l'équipe de sécurité du réseau social n'a pas reconnu qu'une vulnérabilité critique trouvé permet à quiconque de poster sur le mur de quelqu'un.
La vulnérabilité, qui a été rapporté par un homme qui se fait appeler «Khalil», permet à n'importe quel utilisateur de Facebook d'afficher quoi que ce soit sur les murs des autres utilisateurs - même lorsque les utilisateurs ne sont pas inclus dans leur liste d'amis. Il a signalé la vulnérabilité à travers la page d'informations de sécurité de Facebook, qui a offert une récompense minimum de 500 $ US pour chaque véritable rapport de bug de sécurité.
Cependant, l'équipe de sécurité du réseau social n'a pas reconnu le bug, même si Khalil joint un lien vers un poste sur la chronologie qu'il a faite d'une fille au hasard qui a étudié à la même université que le PDG de Facebook Mark Zuckerberg.
«Désolé, ce n'est pas un bug," l'équipe de sécurité de Facebook a déclaré, en réponse au deuxième rapport de Khalil, dans laquelle il proposait de reproduire la vulnérabilité décrite sur un compte de test de Facebook expert en sécurité.
Après avoir reçu la réponse, Khalil affirme qu'il n'avait pas d'autre choix que de présenter le problème sur le mur de Mark Zuckerberg.
La Captures d'écran sur son blog montrent que Khalil détails l'exploit, ainsi que son expérience décevante avec l'équipe de sécurité, sur le mur du fondateur de Facebook.
Quelques minutes après avoir envoyer le message, Khalil dit avoir reçu une réponse d'un ingénieur Facebook demandant tous les détails concernant la vulnérabilité. Son compte a été bloqué tandis que l'équipe de sécurité se sont précipités pour combler le vide.
Après avoir reçu le troisième rapport de bogue, un ingénieur de sécurité Facebook a finalement admis la vulnérabilité mais a déclaré que Khalil ne sera pas payé pour le signaler parce que ses actes ont violé les conditions de sécurité du site Web du service.
Bien que de Facebook White Hat security feedback programme fixe pas de plafond de récompense pour les plus «grave» et des bugs «créatif», il définit un certain nombre de règles que les analystes sécurité devraient suivre afin d'être admissible à une récompense en argent. Facebook n'a pas précisé lequel des règles Khalil avait rompu.
Quelque part entre les deuxième et troisième rapports de vulnérabilité, Khalil a également enregistré une vidéo de lui-même reproduisant le bug.
Dans sa dernière réponse, Facebook a rétabli le compte de Khalil et a exprimé l'espoir qu'il continuera à travailler avec Facebook pour trouver d'autres vulnérabilités.
Source: rt.com