Один товарищ в этой вашей мордокниге нашёл уязвимость

[dil]

Два раза пытался сообщить о ней в мордокниговый security account. Не получилось, потому что мордокнига написана инопланетянами для инопланетян.

В конце концов, чтобы привлечь внимание к проблеме, он запостил картинку в ленту Цукерберга. После чего у него запросили подробности, и он их предоставил.

И вы думаете, благодарный фейсбук сказал ему за это спасибо и заплатил премию? Ничего подобного. Эти пидарасы не только ничего не заплатили, но ещё и эккаунт засуспендили. Типа, за нарушение ToS.

Отсюда напрашивается прямой вывод: следующий, кто найдёт уязвимость в мордокниге, не станет сообщать об этом мудакам, а продаст тем, кто за это с удовольствием заплатит.

https://www.theregister.co.uk/2013/08/18/bugfinder_chucked_for_posting_to_zuck

Оригинал этой записи в личном блоге.

Comments

[pash7ka.livejournal.com]

В статье есть ссылка на пост самого Халила. Из которого видно, что этот человек, хоть и нашел эксплойт, не умеет понятно выражать свои мысли.

Ну что можно понять из его первого письма?
the bug allow facebook users to share links to other facebook users , i tested it on sarah.goodin wall and i got success post
link - > https://www.facebook.com/10151857333098885

Второе письмо, хоть и более подробное, но "of course you may cant see the link" - доставляет.

И, как я понимаю, уже этот самый пост в ленту sarah.goodin - нарушает правила.

[filonovd.myopenid.com]

>> И, как я понимаю, уже этот самый пост в ленту sarah.goodin - нарушает правила.
Я не знаю кто такая эта Сара, но если с ней предварительно было договорено, то нет, не нарушает.

[pash7ka.livejournal.com]

Ну, учитывая что он - не её френд, то как-то сомнительно, что была договорённость. По крайней мере, я не вижу ничего, что указывало бы на это.

[filonovd.myopenid.com]

у меня есть куча знакомых, которые у меня не во френдах на FB. Это не говоря о том, что кого-то вполне можно и отфрендидть ради эксперимента.
И, что самое главное, фейсбуковцы не могут утверждать о том, что таковой договоренности не существовало, если эта Сара им не пожаловалась. А вот Цукерберг таки явно пожаловался. И тут уже вопросов не возникло.

[dil]

Ну не родной у него английский язык, да. Но всё же из этого письма можно понять, что он нашёл какой-то баг, который позволил ему что-то там сделать на стене этой самой Сары. Можно было сходить по ссылке и посмотреть, чтО там.
Если б кому-то были интересны подробности, которые после публичной демонстрации он вполне смог объяснить, их бы сразу и попросили. При желании нашли бы человека, который бы с ним пообщался на родном языке. Но судя по продолжению истории, желания такого не было.

[pash7ka.livejournal.com]

Так они сходили по ссылке. Увидели, что поста не существует. Он же не написал им, что смотреть надо не как обычный пользователь, а только с правами админа.

А со вторым письмом - видимо они вообще не поняли, в чём проблема. Я бы тоже не понял "баг позволяет делиться ссылками с другими пользователями". Круто, но вроде как именно для этого фейсбук и предназначен. Вот именно так ему и ответили.

Да, если знать что вот этот конкретный чел действительно нашел баг, то конечно можно и разобраться. Но ведь очевидно, им присылают много таких писем, и часть из них на самом деле оказывается ерундой, как ни разбирайся.
И тут всё-таки важно написать письмо так, чтобы любому с первого взгляда было понятно в чём, собственно, проблема.