Hacker nutzt Sicherheitslücke und postet auf die Timeline von Mark Zuckerberg (um die Sicherheitslücke zu melden)

Hacker nutzt Sicherheitslücke und postet auf die Timeline von Mark Zuckerberg (um die Sicherheitslücke zu melden)


Es klingt etwas abstrus, hat aber letzte Woche genau so stattgefunden. Nachdem ein Facebook-„Hacker“ eine Sicherheitslücke mehrfach bei Facebook meldete und ignoriert wurde, nutzte er die Gelegenheit und meldete den Fehler direkt an Mark Zuckerberg persönlich. Und zwar genau, indem er die gefundene Lücke nutzte, um auf Mark Zuckerbergs Timeline zu posten:

shreateh_zuckerberg_post

Facebook selbst hat eigentlich ein extra für „gute Hacker“ angelegtes Bug Bounty Programm, welches sehr erfolgreich läuft und bereits über eine Million Dollar an Entwickler ausgezahlt hat, die Fehler und Sicherheitslücken auf Facebook finden. Genau dieses Programm wollte „Khalil Shreateh“ auch nutzen und meldete den Fehler dort. Leider konnte der Fehler vom Facebook Security Team nicht reproduziert werden und Khalil erhielt eine Absage.

Im weiteren E-Mail-Kontakt zu Facebook erwähnte Khalil zusätzlich, dass er den Fehler auch bei Mark Zuckerberg aufzeigen kann, erhielt aber dennoch weitere Absagen vom Facebook Security Team. Nachdem er die Lücke dann ein zweites Mal meldete, inklusive eines Videos, erhielt er eine erneute Absage von Facebook.

Was folgte, kann man sehr gut auf dem Screenshot oben erkennen. Khalil nutze den Bug und postete direkt auf die Timeline von Mark Zuckerberg. Danach erhielt er natürlich die Aufmerksamkeit der Facebook-Mitarbeiter und sein Account wurde gesperrt. Mit der Tatsache, dass er den Fehler mit echten Accounts aufzeigte, verstieß er aber leider gegen Facebooks Responsible Disclosure Policy. Inzwischen ist die Sicherheitslücke behoben, der Account von Khalil wieder aktiv und der genaue Ablauf in seinem Blog zu lesen. Eine Belohnung für den Fund erhält er allerdings nicht, da der Verstoß gegen die Responsible Disclosure Policy dies ausschließt. Pech für Khalil, genug Aufmerksamkeit und Publicity hat er nun allerdings…

Mehr Infos zu diesem speziellen Fall findet ihr auch in einem Beitrag auf ycombinator.

(via Mashable) 

Share on FacebookTweet about this on TwitterShare on Google+Pin on PinterestShare on LinkedInBuffer this pageEmail this to someone

+ Es gibt keine Kommentare

Deinen hinzufügen