Mark, se te ha roto Facebook

Iniciado por Scaramanga, 19 Agosto 2013, 14:40 PM

0 Miembros y 1 Visitante están viendo este tema.

Scaramanga

Entrar en un perfil privado de un desconocido y poner un comentario. Esa es la fechoría de Khalil Shreateh. Este autodidacta de Palestina llevaba tiempo insistiendo en su habilidad y lo denunció ante Facebook. No como un alarde, sino buscando que se corrija el error.

En su blog se presenta como un hacker de sombrero blanco, como se definen los que no tienen más intención que alertar de posibles puntos débiles. En un principio se dirigió a los responsables de seguridad de Facebook siguiendo los cauces habituales. Es decir, rellenando un formulario y después un correo electrónico. En vista de que su demostración no tenía respuesta primero y que, posteriormente le dijeron que eso no era un error, optó por la vía rápida.

Al ver que los perfiles privados seguían al descubierto hizo una demostración que ha dejado en evidencia a los responsables de seguridad. Shreateh buscó entre los contactos amigos de Mark Zuckerberg, creador del servicio y consejero delegado, con el perfil restringido. Así dio con Sarah Goodin, compañera de la universidad de Zuckerberg y demostró sus conocimientos. Después, fue al muro de Zuckerberg, que lo tiene abierto, y publicó una captura de pantalla con su hazaña.

A los pocos minutos un ingeniero de Facebook se puso en contacto con el hácker para que les pasase detalles a la vez que vió cómo se desactivaba su cuenta. No ha habido una disculpa por parte de la red social, sino una excusa. Argumentan que su alerta inicial no incluía suficiente información técnica.

Llama la atención que se haya llegado a este punto si se tiene en cuenta que Facebook tiene un programa para recompensar a aquellos que, como Shreateh actúen de buena fe y alerten de errores. Estos cazagazapos pueden llegar a ganar más de 350 euros (500 dólares) por pieza. Bien, Facebook ha decidido que no cobrará por esta, ya célebre y aplaudida en redes sociales, peripecia por considerar que se salta las normas de ese programa.

Facebook no ha dado una respuesta oficial dentro de su propio servicio, pero sí ha dado explicaciones en un foro de desarrolladores: "Hacer explotar errores para impactar a los usuarios no es un comportamiento que entre dentro de lo que se denomina 'sombrero blanco'. En este caso, el investigador usó el error que descubrió para poner mensajes en los muros de varios usuarios sin su consentimiento".

Es evidente que no hacen referencia a que desestimaron su aviso en primera instancia y solo prestaron atención, y lo solventaron el fin de semana, después de dejar en evidencia tanto el error como su sistema de vigilancia.

http://tecnologia.elpais.com/tecnologia/2013/08/19/actualidad/1376900385_567323.html


WHK

Hace mucho que dejé de reportar problemas de seguridad a facebook y yahoo por lo mismo. No vale la pena.

Oblivi0n

Yo les reporte un problema que permite ver las publicaciones de cualquier persona, independientemente del nivel de privacidad que tengan, y ni me respondieron...

1mpuls0

Hace tiempo encontré algunos pequeños fallos en facebug peor no los reporté, según leí para poder recibir la recompensa se debía enviar la solución x'D y de eso no sé mucho que digamos.

abc

Cergath

Yo pensaba igual, y hasta averigué bien bien, pero me topé con un chico que cometió una primiparada... y es usar el bug en contra de ellos (aún se tratase de una prueba), y ninguna compañía va a aceptar eso, obviamente: ni facebook. No es la primera vez que pasa, está el caso de Glenn Mangham, que incluso estuvo en la carcel por un motivo similar.

Al momento de dar el reporte toca dar TODOS los detalles, no solo decir que encontré un bug de tales características y ya, toca dar todos los pasos de reproducción, todo todo :/
Lamento lo del chico pero pues, ha cometido una primiparada y estoy seguro que no es la primera vez :/ seguro alguien con su potencial encontrará más y esta vez será más precavido y bueno, tratará de aplicar mejor el idioma sino quiere que lo malentiendan, porque a duras penas pude entender lo que escribió en su blog con ese inglés tan básico :S

‭‭‭‭jackl007

A mi me pasó algo similar cuando estudiaba en la universidad. Encontré un fallo en la intranet de mi universidad que me permitía ver el plan de estudios de cualquier alumno de ingeniería, fui donde mi asesor (Ingeniero de sistemas) y le conté y demostré como lo conseguía, me dijo que eso no era grave, que si se pudieran ver las notas allí sería un tema serio. A la semana regresé y le conté que había encontrado otro bug que me permitía ver las notas de todos los alumnos cursó por curso. Acudí de nuevo y le deje los detalles a los responsables de la intranet, me dijeron que al día siguiente estaría arreglado.

Pasaron 3 meses y el error seguía. Así que hice una pequeña web que era como un catálogo de alumnos (con foto) y al hacer click cargaban las notas cursó por curso. Lo hice con la intención de curiosear entre unA página donde vea los rostros y al hacer clic se vea todo.

Comentí el error de contarle a una amiga, ya que esta en ese momento estaba con otra chica, que a su vez se quejó en la facultad. A la semana me llamaron, y después de todo el sermón, me dijeron que me podían expulsar de la universidad por esa payasada... En fin, mis profesores intervinieron para archivar el incidente ya que yo les había avisado a ellos tiempo atrás antes de que explote el bug.

Si que fue un susto.

1mpuls0

Cita de: jackl007 en 23 Agosto 2013, 17:53 PM
A mi me pasó algo similar cuando estudiaba en la universidad. Encontré un fallo en la intranet de mi universidad que me permitía ver el plan de estudios de cualquier alumno de ingeniería, fui donde mi asesor (Ingeniero de sistemas) y le conté y demostré como lo conseguía, me dijo que eso no era grave, que si se pudieran ver las notas allí sería un tema serio. A la semana regresé y le conté que había encontrado otro bug que me permitía ver las notas de todos los alumnos cursó por curso. Acudí de nuevo y le deje los detalles a los responsables de la intranet, me dijeron que al día siguiente estaría arreglado.

Pasaron 3 meses y el error seguía. Así que hice una pequeña web que era como un catálogo de alumnos (con foto) y al hacer click cargaban las notas cursó por curso. Lo hice con la intención de curiosear entre unA página donde vea los rostros y al hacer clic se vea todo.

Comentí el error de contarle a una amiga, ya que esta en ese momento estaba con otra chica, que a su vez se quejó en la facultad. A la semana me llamaron, y después de todo el sermón, me dijeron que me podían expulsar de la universidad por esa payasada... En fin, mis profesores intervinieron para archivar el incidente ya que yo les había avisado a ellos tiempo atrás antes de que explote el bug.

Si que fue un susto.

xDD
aquí el único error que veo fue comentar a tu amiga.
Hiciste bien en reportar los bugs, el error fue de ellos por no realizar las modificaciones pertinentes, otra persona con malas intenciones fuera y tal vez hubiese pasado a mayores.

Saludos.
abc