Facebook : le hacker palestinien rétribué par la communauté

Le par  |  8 commentaire(s)
faille-facebook-zuckerberg

Auteur d'un piratage audacieux du compte Facebook de Mark Zuckerberg pour signaler l'existence d'une vulnérabilité, Khalil Shreateh ne sera pas récompensé par le réseau social pour sa trouvaille. Mais la communauté de la sécurité a réuni pour lui plus de 10 000 dollars.

Se présentant comme un diplômé en systèmes d'information actuellement sans emploi, Khalil Shreateh a découvert et rapporté à Facebook une vulnérabilité. Il escomptait ainsi empocher au moins 500 dollars dans le cadre du programme de Bug Bounty de Facebook - dénommé whitehat - mais son rapport a été refusé.

Comme il n'a pas obtenu l'attention désirée de l'équipe de sécurité du réseau social, le chercheur palestinien en sécurité a décidé de se faire mieux entendre et a fini par pirater la page Facebook de nul autre que son PDG et cofondateur, Mark Zuckerberg, en publiant un message sur son mur.

En faisant cela, Khalil Shreateh a violé les conditions d'utilisation du site et a définitivement ruiné ses chances d'obtenir une rétribution par Facebook.

Facebook a néanmoins comblé la faille. L'attitude du réseau social vis-à-vis de Khalil Shreateh a été sévèrement jugée par une partie de la communauté de la sécurité. Le célèbre hacker Marc Maiffret en tête, elle a réuni plus de 10 000 dollars pour le chercheur en sécurité palestinien.

Khalil-Shreateh-Marc-Maiffret

Lundi, le responsable de la sécurité chez Facebook a publié des explications sur cette affaire et a reconnu des erreurs dans la communication avec Khalil Shreateh.

" Nous recevons des centaines de soumissions par jour, et seulement un minuscule pourcentage d'entre elles sont des bugs légitimes. Nous avons été trop hâtifs et méprisants dans ce cas précis. Nous aurions dû expliquer à ce chercheur que ses premiers messages ne nous ont pas donné assez de détails pour nous permettre de reproduire le problème "

, écrit Joe Sullivan qui dit comprendre la frustration de Khalil Shreateh.

Des changements vont être apportés au programme whitehat. Pour autant, le responsable Facebook maintient qu'il n'est pas question de récompenser des " chercheurs qui ont testé des vulnérabilités sur des utilisateurs réels ", quels qu'ils soient. Une position que l'on peut aussi comprendre.

En dépit de la frustration éprouvée par Khalil Shreateh, on retiendra qu'il n'a pas fait un usage malveillant de sa découverte. Il aurait aussi pu être tenté par une vente de sa vulnérabilité sur le marché noir de la cybercriminalité.

Facebook a récemment indiqué avoir déboursé plus d'un million de dollars en un peu plus de deux ans avec son programme de chasse aux bugs. Sur les 329 chercheurs récompensés, certains ont gagné plus de 100 000 dollars chacun.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1449072
Absolument scandaleux...

Une entreprise cotée en bourse qui ne dédaigne même pas récompenser une trouvaille pareil. Surtout que qu'il n'a même pas testé cette faille sur un utilisateur lambda.. Mais le PDG..


Le #1449102
Le #1449152
C'est le pompon!
Quel pingre cette Montagne de Sucre! Meme pas un Zucker d'orge!
Mettre un pied dans fesse bouc on dit que cela porte bonheur

Le #1449242
GuurB a écrit :

Absolument scandaleux...

Une entreprise cotée en bourse qui ne dédaigne même pas récompenser une trouvaille pareil. Surtout que qu'il n'a même pas testé cette faille sur un utilisateur lambda.. Mais le PDG..


En même temps v'là la tête du bug report puisque décidément les news qui en parlent préfèrent broder sans le concret :
--------------------------
Subject: post to facebook users wall .

Name: Ḱhalil
E-Mail: *******@hotmail.com
Type: privacy
Scope: www
Description: dear facebook team .

my name is khalil shreateh.
i finished school with B.A degree in Infromation Systems .

i would like to report a bug in your main site (www.facebook.com) which i discovered it .

repro:
the bug allow facebook users to share links to other facebook users , i tested it on sarah.goodin wall and i got success post
link ->https://www.facebook.com/10151857333098885

Le #1449632
OK, son message était pas très explicite ......

mais quand tu vois qu'il te pourrit la page du PDG de génie, tu pourrais au moins reconnaître un intérêt pour la trouvaille qu'il a faite, et peu importe qu'il n'ait pas respecté la procédure .... tu lui envoies un chèque de 500$ pour qu'il explique en détail ce qu'il a fait, et puis surtout pour que ta boîte ne passe pas pour une boîte de goujats et de radins !

Parce qu'abîmer ton image de marque, ça, ça a un coût ... et autrement plus élevé !

Enfin, moi je dis ça , je dis rien !

Dédicace spéciale pour nozero : t'as vu, je peux mettre plein de smileys

je sais que t'aimes ça, alors je t'en remets un peu ...
Le #1449822
frèzetagada a écrit :

OK, son message était pas très explicite ......

mais quand tu vois qu'il te pourrit la page du PDG de génie, tu pourrais au moins reconnaître un intérêt pour la trouvaille qu'il a faite, et peu importe qu'il n'ait pas respecté la procédure .... tu lui envoies un chèque de 500$ pour qu'il explique en détail ce qu'il a fait, et puis surtout pour que ta boîte ne passe pas pour une boîte de goujats et de radins !

Parce qu'abîmer ton image de marque, ça, ça a un coût ... et autrement plus élevé !

Enfin, moi je dis ça , je dis rien !

Dédicace spéciale pour nozero : t'as vu, je peux mettre plein de smileys

je sais que t'aimes ça, alors je t'en remets un peu ...


"Parce qu'abîmer ton image de marque, ça, ça a un coût"
=>Ils ont une image de marque, Facebook ?
Le #1450502
frèzetagada a écrit :

OK, son message était pas très explicite ......

mais quand tu vois qu'il te pourrit la page du PDG de génie, tu pourrais au moins reconnaître un intérêt pour la trouvaille qu'il a faite, et peu importe qu'il n'ait pas respecté la procédure .... tu lui envoies un chèque de 500$ pour qu'il explique en détail ce qu'il a fait, et puis surtout pour que ta boîte ne passe pas pour une boîte de goujats et de radins !

Parce qu'abîmer ton image de marque, ça, ça a un coût ... et autrement plus élevé !

Enfin, moi je dis ça , je dis rien !

Dédicace spéciale pour nozero : t'as vu, je peux mettre plein de smileys

je sais que t'aimes ça, alors je t'en remets un peu ...


confirmation avec la nouvelle news, il a pas donné assez d'infos dans le détail de la faille, pour ensuite piraté le compte en disant j'ai trouvé une faille, pour pouvoir légitimer son piratage, il explique qu'il avait contacté facebook avant (sans donné de détail surement volontairement)

du coup grâce au piratage, il s'est fait connaitre, ça fait le buzz, et récolte de l'argent des internautes.

très bonne stratégie. faut l'avouer. son plan à marcher comme sur des roulettes.

Pourquoi expliquer sa faille en détail à facebook pour toucher que 500 euros, alors qu'il à une chance de faire le buzz, vu la haine envers facebook que tous le monde as, et se faire connaître mondialement, et obtenir de la notoriété qu'il n'aurait pas eut, juste en dévoilant correctement la faille à facebook.

j'ai pas de boule de cristal, je suis juste logique dans mes raisonnements ....



Tu peux aimer ou pas, ça n'en reste pas moins la vérité.

"Enfin, moi je dis ça , je dis rien ! " et bien, ne dit rien....
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]