Facebook zahlt Rekordbelohnung für Königs-Lücke

Den bisher höchsten Einzelbetrag im Rahmen seines Bug Bounty-Programms hat das Social Network Facebook an den Sicherheits-Forscher Reginaldo Silva ausgezahlt. Dieser erhielt 33.500 Dollar für eine gemeldete Sicherheitslücke. mehr... Facebook, Login Screen, facebook ipad Bildquelle: Facebook Facebook, Login Screen, facebook ipad Facebook, Login Screen, facebook ipad Facebook

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Respekt an den Entdecker, dass er so ehrlich gehandelt hat, da kann man nur den Hut ziehen!
 
@wMAN: Kann man so oder so sehen. Er hätte ja eventuell auch die Chance gehabt, die Menschheit von diesem Moloch zu befreien. Dann würden plötzlich wieder Leute in der Bahn miteinander reden, statt kleine Bildschirmchen zu streicheln... ;)
 
@DON666: Weil man vor Facebook und Smartphones ja auch immer wieder wildfremde Menschen in der Bahn angequatscht hat oder von ihnen angequatscht wurde...
 
@picasso22: Ich kenne da paar Leute die machen das auch so.
 
@BrakerB: Die sind aber meisten verwirrt oder besoffen^^. Oder die Leute glauben das dann jedenfalls.
 
@TYPH00N: Ersteres :D
 
@picasso22: Du hast die letzten beiden Zeichen meines Beitrags gesehen/verstanden? Egal, irgendwie wäre die Vorstellung interessant, wenn der Laden mindestens für ein, zwei Tage mal komplett dicht wäre.
 
Ich frage mich, wie er das bitte FB gemeldet hat, wenn die weder Mailadresse noch irgend einen anderen Support haben. Oder kennt jemand die Mailadresse vom FB Support? Es gibt keine!
 
@hiccups:
Dumm? Facebook einloggen -> Einstellungen -> Problem melden. Fertig
 
@b0a1337: dumm darf nie sagen wer 1337 in seinem namen trägt ;)
 
@Matico:
sag niemals nie ;)
 
@hiccups: Es gibt eine freie Contact-Form für alle. Zudem gibts das Facebook Help Center, das u.a. das Bug Bounty beinhaltet. Und: gerade als Entwickler haste noch zahlreiche weitere Möglichkeiten (zB FB Dev Center).
 
@hiccups: https://developers.facebook.com/x/bugs/
 
33.500$ ist ein schlechter Witz für den Fehler.
Angemessen wäre es, wenn Zuckerberg ihn von zu Hause abholt, zum Essen einlädt und ihm einen netten Arbeitsvertrag anbietet...
Man muss sich wirklich mal überlegen... : Mit diesem Fehler hätte man ALLE User-Daten nach belieben manipulieren können... Damit stünde man über den Administratoren von den Rechten her...
 
@SpiDe1500:
oder STRG+A + ENTF :D
 
@SpiDe1500: naja. Nur weil Du aufs System kommst heisst das noch lange nicht, dass Du an die Daten kommst. Solche Server-Farmen sind ja etwas anders aufgebaut, als ein stink normaler Root-Server. Da sind i.d.R. noch 1-2 (geschützte) Schichten dazwischen, bevor man an Daten kommt. Auch Administratoren, die für das System zuständig sind, können noch lang nich an die Anwendung.
 
@TurboV6: Administratoren können aber Daten manipulieren oder entfernen - zwar nur übers Frontend, aber immerhin. Dafür wird dann häufig ein "2-Schlüssel"-System verwendet (ein Admin fordert die Löschung an, ein anderer bestätigt). Da der Exploit aber nun mal dazu führt, dass ein Hacker viele Admin-Konten übernehmen kann, wäre er also durchaus in der Lage Daten zu löschen oder zu manipulieren. Einzige Chance für Facebook wäre dann ein Rollback - was für FB wohl mit zu dem Worst-Case Szenarien gehört...
 
@SpiDe1500: rein aus dem News-Kontext, der hier wahrlich nicht gut ist, lese ich heraus, dass es um Webserver-Admins und damit lokale System-Admins geht; nicht um die Anwendung.
System-Admins bei solchen Server-Farmen sind i.d.R. immer nur lokal, um eben einen Ausbruch auf die ganze Farm zu vermeiden. Wenn Du also auf den Webserver kommst, dann kannst Du Dir nur diese eine Identität erst mal beschaffen (ein Server, eine Identität). Es steht hier aber nicht drin, ob es sich um den Authentifizierungs- oder was auch immer für einen Server geht. In Web-Farmen ist dies mehrstufig und Aufgaben-getrennt geordnet (Last, Logik, Datenbank, Authentifzierung, etc etc..). Und teilweise lagert Facebook auf Funktions-Server aus: der Content (Bilder und andere statische Ressourcen) wird über eine externe Firma (Akamai) bereitgestellt.
 
@SpiDe1500: Finde auch, dass das deutlich zu wenig ist. Solch ein Bug wäre auf dem Schwarzmarkt sicherlich locker das 10fache (wahrscheinlich sogar deutlich mehr) Wert gewesen...
 
da er zugriff auf die Zentral rechner hatte dürfte das mit abstand das kleinste Problem gewesen sein.
 
@timeghost2012: Was meinst du?
 
Wurde nicht im Herbst jemand bei Facebook rausgeworfen, weil er den Bug nicht "melden" konnte und ihn deshalb auf Mark Zuckerbergs eigenem Profil demonstrierte?
 
@Penman: Naja das Meldesystem ist das schlechteste überhaupt. Wenn man Werbung schaltet und diverse Dinge bez. MwSt. oder Rechnungen jemand kontaktieren will -> keine Chance. Ebenso bei Meldungen über Posts, die zu löschen wären (Gewaltandrohung usw.). Gelöscht wird nur, was der Support will. Eine seriöse URL eines Kunden ist gesperrt worden. Keine chance über das automatische Formular diese wieder Freizuschalten. Seit 3 Jahren mittlerweile keine Rückantwort, weder in Deutsch noch in Englisch. (und ich melde dies jeden Monat - über mehrere Accounts und andere Angestellte auch) Super :-)
 
rel. kleine summe für so einen fehler. moral hat er. aber er hätte es auf dem schwarzmarkt verkaufen sollen
 
@gast27: Du kritisierst ernsthaft, dass er ehrlich war? ("er hätte unehrlich sein sollen")
 
Da sind Menschen damit beschäftig, Systeme von Unternehmen die Milliarden verdienen, zu testen und eingänge zu finden die nicht hätten sein dürfen und bekommen dan jedesmal nur einen Obligatorischen Betrag ?
Der Zuckerhaufen soll mal für den Mist den er und seine Angestellten da erfunden haben, "richtig" in die Tasche greifen.
Es trifft schließlich keinen Armem der da was abgeben soll !
 
Ich hätte die Lücke an Hacker verkauft, da wäre bestimmt mehr drin gewesen! Und es wäre schlecht für FB gewesen!
Kommentar abgeben Netiquette beachten!

Facebooks Aktienkurs in Euro

Facebooks Aktienkurs - 6 Monate
Zeitraum: 6 Monate

Der Facebook-Film im Preis-Check