Пользователь
102,0
рейтинг
20 августа 2013 в 13:02

Разработка → Сообщество собирает деньги для хакера, которому не заплатил Facebook

Несколько дней назад интернет облетела история о безработном палестинском веб-разработчике Халиле Шритехе (Khalil Shreateh), которому Facebook отказался выплачивать вознаграждение за найденную уязвимость. Хакер обнаружил баг, позволяющий публиковать сообщения на стене любого пользователя Facebook, даже если тот не является вашим другом, и независимо от настроек приватности.

Халил сначала взломал страничку Сары Гудин, однокурсницы Цукерберга, разместил там видеоролик — и отправил ссылку в отдел безопасности Facebook.



Но они ответили, что одной ссылки недостаточно для воспроизведения бага.

Возмущённый Халил в ответ на это взломал страницу Цукерберга и опубликовал у него на стене описание ситуации.




Только так хакеру удалось привлечь внимание специалистов по безопасности Facebook. Один из них написал прямо в комментариях к скриншоту и попросил выслать подробности об эксплойте.

Халил опубликовал видео с демонстрацией взлома — это именно то, чего не хватало в первом письме.



Facebook за последние пару лет выплатил уже более миллиона долларов независимым хакерам за найденные баги на сайте. Конечно, просто смешно выглядит мнение что Цукерберг отказал в оплате арабу по каким-то личным мотивам.

Тем не менее, сообщество дружно встало на защиту Шритеха. Многие говорят, что отдел безопасности должен был более уважительно и вежливо попросить хакера прислать дополнительную информацию.

После взлома страницы Цукерберга сложно представить, что компания согласится выплатить вознаграждение — хорошо, если не заведут уголовное дело на бедного палестинца.


Халил Шритех

Хакерское сообщество решило поддержать коллегу своими силами. На сайте GoFundMe открылся сбор средств в его адрес. На эту минуту собрано уже $7405 из необходимых $10000. Это примерно максимум того, на что мог рассчитывать Шритех в случае получения официального вознаграждения Facebook. Там минимальная награда составляет $500, максимальная сумма не ограничена, но за всю историю самым большим вознаграждением было $20 тыс. за уязвимость со взломом по SMS.
Анатолий Ализар @alizar
карма
744,5
рейтинг 102,0
Пользователь
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (81)

  • +24
    У нас кстати тоже такие герои на Хабре есть habrahabr.ru/post/189040/. Я бы скинулся девочке, чесслово.
    • 0
      Таки можно организовать фонд хабра для поощрения таких людей, которым отказались платить. Конечно только после публикации статьи на хабре и признания проблемы действительно багом.
      • 0
        Это не будет похоже на публичную продажу багов и уязвимостей? :-)
        • +4
          После того как сообщил о проблеме в поддержку и они не признали это багом? Думаю нет.
  • +1
    Специалисты по безопасности Facebook и Цукерберг увидев аватарку Сноудена, не захотели переезжать в Шереметьево, для ожидания политического убежища в России. Халил Шритех — свое возьмет, отличный старт международной карьеры.
    • 0
      [ирония]Интересно сколько Халил отвалил Цукербергу за такую эффектную рекламную компанию?[/ирония]
  • +22
    Отказ был вполне ожидаемым и обоснованным. На странице Whitehat у них черным по белому написано
    make a good faith effort to avoid privacy violations, destruction of data

    Please use a test account instead of a real account when investigating bugs… Do not interact with other accounts without the consent of their owners.


    Чувак же не только не смог описать, что он нашел, но и нарушил все эти правила.
    • +3
      Ну или такая версия: тп не поняли описания уязвимости, объявив это фичей. Чувак воспользовался этой фичей, а его зобанили
  • +7
    Возмущённый Халил в ответ на это взломал страницу Цукерберга

    Теперь запостить на стене называется взломать? Что конкретно он взламывал?
      • +1
        Намного лучше звучала бы версия — «Хакер взломал Facebook! Скандалы, интриги, расследования».
        • +81
          Судя по самым рейтинговым комментариям этого поста, лучшим вариантом был бы: «Палестинские повстанцы взломали еврейский сайт».
          • –10
            евгейский
          • –1
            Спасибо, зашел увидеть этот комментарий. Настроение подняли!:)
      • 0
        В наших реалиях возможно было бы такое: «Хакер взломал страницу Цукерберга за еду.»
        • +2
          «В США, как обычно, всё плохо. На сей раз жадные до денег владельцы одного из аналогов отечественного вконтакте отказываются выплачивать заработанные деньги палестинским работникам. ГосДума единогласно приняла закон, запрещающий переводы денежных средств в США»
  • +5
    0Day просто… Дали бы хоть 500$ не было бы такого шума.
    • 0
      ну так-то это возможность рассылать спам, а спам (в разных формах), наверное, самая раздражающая вещь в современном интернете
  • 0
    Вот так вот и подрывается вера в честность и объективность руководства проектов. Люди помогают дыры искать и закрывать, чтоб они миллиарды зарабатывали, а те в свою очередь начинают условия диктовать… не правильно, не по совести.
    • +4
      Это же сразу понятно.
      PR правильно работает. Мол, Facebook такой классный, всем платит за найденные баги, — прочитает обычный пользователь и пройдет мимо.

      А как только попробуешь что-то зарепортить, даже без корыстного умысла, натолкнешься на кучу бюрократии. Тут один индус не понял что же такое ты обнаружил, там другой индус ничего по сути не проверив отписался, что у него все нормально. И ты думаешь, что уж Главный-то тебя услышит и поймет. В конце концов, это же у НИХ критический баг, это же ИМ надо!

  • +2
    Жлобы. За такую уязвимость ему мешок денег надо было дать.
  • +1
    Очень интересно, что среди пожертвований есть разовые в 3 + 3 + 1 тысячу долларов.
    • +3
      Кардеры))
  • –3
    Я наверно окажусь в меньшинстве, но они правильно сделали что не выплатили ему денег. Если бы они таки отлистали ему это было бы де-факто поощрением ломать аккаунты «простых смертных» ради поиска багов. Это бы могло осложнить жизнь админам на ровном месте, а думается проблем у них и без этого хватает. Кроме того, после такого хода нашелся бы еще один (и не один) умник наломавший бы пачку-две аккаунтов и сказазвший «а там бага была» и мордокнига была бы уже вынуждена заплатить и ему, таким образом откровенно спонсируя не поиск багов, а ломание своего деньго-печатающего станка. Понятно, что это не нужно вообще никому, кроме самого хакера.
    Другое дело, что им (да и хакеру) надо было не доводить до этого и как-то решить проблему до патовой ситуации, но тут «виноваты оба»(с).
    • +2
      насколько я понял, он и не просил денег вовсе. Да, у них есть правила по выплате вознаграждений за найденный баги, но он не просил денег, следовательно, отправил отчет о баге в удобной для него форме, попросив связаться с ним.
      А возмутило его скорее безответственное отношение безопасников («это не баг») и ответы в стиле «facebook has all the right to disable any facebook account without any reason given» (после блокировки его аккуанта)
      • +1
        Ну я нигде и не утверждал что он прорсил;) Мой месседж был в том что общественность не обоснованно воет о том, что мордокнига должна дать ему денег. С тем что саппорт (или кто там у них багами занимается) ступил, мягко говоря, никто и не спорит.
  • 0
    Парень нашёл уязвимость, продемонстрировал, гоните шекели!
  • +1
    А может дело в аватарке со Сноуденом?
    • 0
      да или нет, но может характерно для фалестинского хакера
    • 0
      А может дело в аватарке со Сноуденом?
      [irony]На самом деле все было так: Сноуден сидел там в Шереметьево, скучно, да и деньги они ж величина небесконечная, вот и решил попиариться, денег для продолжения эпопеи набрать и он нам решил нам как бы намекнуть… [/irony]
  • 0
    Для парня хорошее дело сделали, вряд ли бы он получил такую сумму от Facebook.
    P.S Хабр иногда слишком походит на баш и еще один популярный ресурс с анекдотами.
  • +1
    Корректнее:

    … о безработном палестинском веб-разработчике Халиле Шритехе (خليل شريتح)
  • –3
    казалось бы, какое отношение имеет нахождение бага в фейсбуке к палестино-израильскому конфликту… но нет же, каждый второй решил блеснуть своим чувством юмора…
    • –1
      • 0
        Никогда, никогда не пишите на хабр в состоянии наркотического опьянения :)
        • –1
          :)
          • –1
            :):
  • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    Отлично, уже 10,900$ набрали. Все-таки здорово знать, что есть и такая помощь от сообщества!

    Update: Thank you so much to everyone who helped make this happen for Khalil. I am leaving this active while I work with gofundme to transfer the funds to Khalil, whom I am now in contact with. I hope this has raised awareness of the importance of independent researchers. I equally hope it has reminded other researchers that while working with technology companies can sometimes be frustrating, we can never forget the greater goal; to help the Internet community at large, just as that community has helped donate over ten thousand dollars to Khalil within a day.

    All proceeds raised from this fund will be sent to Khalil Shreateh to help support future security research.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.