Security-Szene sammelt Geld für Facebook-Hacker

Eine Sicherheitslücke, die das Posten auf fremden Profilen ermöglichte, könnte zum zweiten Mal peinlich für das Social Network Facebook werden und es nun auch noch knauserig dastehen lassen. Der Entdecker des Problems, Khalil Shreateh, hatte kürzlich von sich Reden gemacht, weil er die Lücke ausnutzte, um Informationen direkt auf die Pinnwand des Facebook-Gründers Mark Zuckerberg zu schreiben. Er wählte diesen Weg, weil die Entwickler der Plattform seine Angaben als falsch zurückgewiesen hatten.

Kurz nach seiner Aktion wurde der Fehler dann endlich behoben. Das Unternehmen weigerte sich aber, Shreateh über das Bug Bounty-Programm für die Meldung des Fehlers zu entlohnen. Das wurde damit begründet, dass dieser sich nicht an den korrekten Weg für die Zusammenarbeit mit dem Sicherheits-Team gehalten habe.

Unter Sicherheits-Experten löste dies Unmut aus und der Technikchef der Security-Firma BeyondTrust, Marc Maiffret, rief dazu auf, für Shreateh zu sammeln. Als Ziel definierte er, 10.000 Dollar zusammenzubekommen. Wie die Nachrichtenagentur Reuters berichtete, hat er inzwischen bereits 9.000 Dollar eingesammelt, inklusive der 2.000 Dollar, die er selbst bereitstellte.

Er begründete die Aktion auch mit der besonderen Lage des Sicherheitsforschers, dem Facebook Erkenntnisse über eine nicht gerade triviale Lücke zu verdanken habe. "Er sitzt da in Palästina und betreibt seine Forschungen an einem fünf Jahre alten Notebook, das so aussieht, als wäre es schon längst kaputt", so Maiffret. "Das wird ihm da vielleicht heraushelfen."

Bei Facebook erhalten externe Entwickler, die ein Problem melden, im Rahmen des Bug Bounty-Programms je nach Schwere des Problems ab 500 Dollar pro Meldung. Laut Joe Sullivan, dem Sicherheitschef des Unternehmens, wurden im Zuge dessen bereits rund 1 Million Dollar ausgezahlt. Shreateh habe hingegen das Prinzip verletzt, dass Schwachstellen nicht anhand realer Nutzerprofile demonstriert werden dürfen.