Один товарищ в этой вашей мордокниге нашёл уязвимость

[dil]

Два раза пытался сообщить о ней в мордокниговый security account. Не получилось, потому что мордокнига написана инопланетянами для инопланетян.

В конце концов, чтобы привлечь внимание к проблеме, он запостил картинку в ленту Цукерберга. После чего у него запросили подробности, и он их предоставил.

И вы думаете, благодарный фейсбук сказал ему за это спасибо и заплатил премию? Ничего подобного. Эти пидарасы не только ничего не заплатили, но ещё и эккаунт засуспендили. Типа, за нарушение ToS.

Отсюда напрашивается прямой вывод: следующий, кто найдёт уязвимость в мордокниге, не станет сообщать об этом мудакам, а продаст тем, кто за это с удовольствием заплатит.

https://www.theregister.co.uk/2013/08/18/bugfinder_chucked_for_posting_to_zuck

Оригинал этой записи в личном блоге.

Comments

[klopp]

Если честно, напоминает стародревние времена на уровне "а напишу-ка я вирус, потому что у вас тут дырка".
Реакция мордокники не радует, конечно, но косяк видится с обеих сторон.

[dil]

Косяк только со стороны мордокниги. Мужик нашёл дырку, сообщил два раза. Никому не интересно. Тогда показал широкой аудитории, причём не причиняя никому вреда. Только тогда они озаботились проверкой.
Формально он, конечно, ToS нарушил, но вреда-то никакого не было. Мог бы вместо того опубликовать подробности в интернетах или действительно продать кому-то, вот тогда бы хулиганы порезвились. Но он этого не сделал.

[klopp]

С мордокниги косяк, я ж не спорю.

Тебе показать переписку с тем же яндексом? Саппорт отвечает, а 500 валился, и техписы одно, а к серверам это не имеет отношения, и в документации одно, а в реальности пятое, а вообще разговаривайте с саппортом, который отвечает раз в неделю, и не про то, что спрашивали...

Сделали отмазкой, а мильоны леммингов схавают, им не в убыток.

[filonovd.myopenid.com]

как я понял из заявления мордокнижников - для подобных действий существуют спациальные тестовые аккаунты. А тренироваться на живых людях - ни-ни.
Ну и таки аккаунт-то ему вернули. Вот денег не дают - да. Козлы. Мне почему-то кажется, что дадут. Но чуть позже и под каким-нить другим соусом.

[dil]

Как я понял из упомянутой статьи, пока это не было продемонстрировано на живом эккаунте Цукерберга, это никого особо не волновало.

[filonovd.myopenid.com]

Угу. Но можно было продемонстрировать не на живом аккаунте, а на тестовом, которые специально для этого существуют.
Как я понял (статья была другая и линк сейчас уже не вспомню, естественно), то он посылал описание дырки, а там не смогли воспроизвести взлом. А раз не смогли, то и забили. Они признают, что были не правы. Но это не повод демонстрировать на живых аккаунтах.

[dil]

Ну так я об этом именно и говорю: если владельцы сервиса забили, то не надо биться головой об стену, пытаясь до них это донести. Им же не интересно. Надо рассказать тем, кому интересно.

[pash7ka.livejournal.com]

В статье есть ссылка на пост самого Халила. Из которого видно, что этот человек, хоть и нашел эксплойт, не умеет понятно выражать свои мысли.

Ну что можно понять из его первого письма?
the bug allow facebook users to share links to other facebook users , i tested it on sarah.goodin wall and i got success post
link - > https://www.facebook.com/10151857333098885

Второе письмо, хоть и более подробное, но "of course you may cant see the link" - доставляет.

И, как я понимаю, уже этот самый пост в ленту sarah.goodin - нарушает правила.

[filonovd.myopenid.com]

>> И, как я понимаю, уже этот самый пост в ленту sarah.goodin - нарушает правила.
Я не знаю кто такая эта Сара, но если с ней предварительно было договорено, то нет, не нарушает.

[pash7ka.livejournal.com]

Ну, учитывая что он - не её френд, то как-то сомнительно, что была договорённость. По крайней мере, я не вижу ничего, что указывало бы на это.

[filonovd.myopenid.com]

у меня есть куча знакомых, которые у меня не во френдах на FB. Это не говоря о том, что кого-то вполне можно и отфрендидть ради эксперимента.
И, что самое главное, фейсбуковцы не могут утверждать о том, что таковой договоренности не существовало, если эта Сара им не пожаловалась. А вот Цукерберг таки явно пожаловался. И тут уже вопросов не возникло.

[dil]

Ну не родной у него английский язык, да. Но всё же из этого письма можно понять, что он нашёл какой-то баг, который позволил ему что-то там сделать на стене этой самой Сары. Можно было сходить по ссылке и посмотреть, чтО там.
Если б кому-то были интересны подробности, которые после публичной демонстрации он вполне смог объяснить, их бы сразу и попросили. При желании нашли бы человека, который бы с ним пообщался на родном языке. Но судя по продолжению истории, желания такого не было.

[pash7ka.livejournal.com]

Так они сходили по ссылке. Увидели, что поста не существует. Он же не написал им, что смотреть надо не как обычный пользователь, а только с правами админа.

А со вторым письмом - видимо они вообще не поняли, в чём проблема. Я бы тоже не понял "баг позволяет делиться ссылками с другими пользователями". Круто, но вроде как именно для этого фейсбук и предназначен. Вот именно так ему и ответили.

Да, если знать что вот этот конкретный чел действительно нашел баг, то конечно можно и разобраться. Но ведь очевидно, им присылают много таких писем, и часть из них на самом деле оказывается ерундой, как ни разбирайся.
И тут всё-таки важно написать письмо так, чтобы любому с первого взгляда было понятно в чём, собственно, проблема.

[klopp]

Я к тому, что, может там бюрократическая машина слишком разрослась.