Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Pour prouver une faille sur Facebook, il pirate le compte de Mark Zuckerberg

Il n'était pourtant pas ivre

Pour prouver une faille sur Facebook, il pirate le compte de Mark Zuckerberg

Le 19 août 2013 à 14h32

Facebook communiquait récemment sur la manière dont certains chercheurs en sécurité avaient été dûment récompensés pour avoir trouvé des failles dans le réseau social. Telle n’est cependant pas l’histoire du technicien Khalil Shreateh qui, face au refus de Facebook de prendre en compte le bug qu’il avait découvert, n’a eu d’autre choix que de pirater le compte de Mark Zuckerberg pour montrer sa bonne foi.

facebook security

 

Au début du mois, Facebook communiquait très officiellement au sujet de l’argent reversé à ceux qui participaient à son programme de recherche de failles de sécurité. Ainsi, ce sont plus d’un million de dollars qui ont été reversés depuis le début dudit programme, certains ayant empoché plus de 100 000 dollars cumulés. Pour une seule faille, Facebook a déjà dépassé les 20 000 dollars de récompenses, et les profils des lauréats étaient pour le moins variés. On apprenait ainsi que le plus jeune découvreur n’était âgé que de… 13 ans seulement.

« Désolé, ceci n'est pas un bug » 

Pour autant, tous les découvreurs de failles ne sont pas nécessairement récompensés comme ils le voudraient. C’est le cas de Khalil Shreateh, un expert de Palestine. Il a lui-même découvert une faille de sécurité permettant de publier sans autorisation des liens vers les murs de personnes qui n'étaient pas amies. Comme il le relate dans un long billet de blog, il a informé à plusieurs reprises Facebook de sa découverte, sans réellement être pris au sérieux. La suite des évènements est pour le moins originale.

 

C’est ainsi qu’il commence par s'attaquer au compte de Sarah Goodin, première femme inscrite sur Facebook et qui était notamment dans le même lycée que Mark Zuckerberg quand ils étaient jeunes.

 

facebook shreateh faille

 

Il avertit alors les équipes de sécurité de Facebook qui indiquent simplement ne pas pouvoir vérifier la faille. Le profil de Sarah Goodin n’est en effet accessible que pour ses amis, et seul Khalil Shreateh pouvait voir sa publication puisqu’il en était l’auteur. Dans sa réponse à Facebook, Shreateh réitère et indique qu’il peut pirater de la même manière le compte de Mark Zuckerberg si nécessaire, son mur étant visible de tous.

 

facebook shreateh faille

Mark Zuckerberg, l'étape supèrieure

Lorsqu’une nouvelle fois l’équipe de sécurité répond qu’il ne s’agit pas d’une faille, le découvreur passe à la vitesse supérieure. Il utilise donc la brèche de sécurité sur le profil du célèbre fondateur de Facebook et publie deux captures d’écrans en tant que preuves, quand bien même on sait qu’il est facile de produire des captures factices.

 

facebook shreateh faille facebook shreateh faille

 

Sur le mur de Zuckerberg, Shreateh décrit sa faille et comment l’équipe de sécurité a refusé deux fois de prendre en compte sa découverte. Rapidement, un ingénieur en sécurité de Facebook prend contact avec le découvreur pour lui demander les détails de son opération. Shreateh s’exécute mais voit son compte désactivé quelques minutes plus tard.

La douche froide 

Après une demande d’explications auprès de Facebook, l’équipe lui répond que cette désactivation est une mesure de précaution, ce qui se vérifiera rapidement avec un retour en ligne de son profil. Dans un email, l’équipe de sécurité s’expliquera toutefois de cette action et en profitera pour indiquer la bonne marche à suivre.

 

« Facebook a désactivé votre compte par précaution. Quand nous avons découvert votre activité, nous n’étions pas certains de ce qui était en train de se produire. Malheureusement, votre rapport à notre système Whitehat ne renfermait pas assez d’informations pour nous permettre une quelconque action. Nous ne pouvons pas répondre aux rapports qui n’ont pas assez de détails pour nous permettre de reproduire le problème. Quand vous soumettrez d’autres rapports dans le futur, nous vous demanderons de bien vouloir inclure s’il-vous-plaît assez d’informations pour répéter vos actions. »

 

Cependant, la suite de l’email est une véritable douche froide :

 

« Nous ne sommes malheureusement pas en mesure de vous payer pour cette vulnérabilité car vous avez violé les conditions d’utilisation du service. Nous espérons toutefois que vous continuerez de travailler avec nous pour trouver des failles sur le site ».

 

En clair, le piratage des comptes de Sarah Goodin et de Mark Zuckerberg est une violation des conditions d’utilisation, ce qui revient à enfoncer une porte ouverte. Toutefois, l’équipe de sécurité explique qu’en raison de cette violation, il n’est pas question de rémunérer Khalil Shreateh. L’expert a-t-il abusé ou Facebook est-il mauvais perdant ? La question divise et les commentaires fusent pour défendre un point de vue ou un autre.

Mauvaise méthode contre mauvaise foi 

Certains estiment ainsi que Facebook affiche sa mauvaise foi en ne récompensant pas un homme qui, en définitive, a prouvé par la manière forte et en insistant qu’il était bien en possession d’une faille authentique. D’autres jugent que Shreateh aurait dû savoir comment faire un rapport de bug convenablement. Ce à quoi d’autres encore jugent que Facebook aurait dû demander des détails supplémentaires, ce qui n’a jamais été fait. Enfin, certains pensent que récompenser Shreateh serait une manière pour Facebook d’autoriser les chercheurs de faille à pirater des comptes tiers pour leurs démonstrations, ce qui ne pourrait pas être toléré.

 

Dans une réponse donnée par un ingénieur Facebook, la société reconnaît qu’elle aurait dû demander des détails supplémentaires et que la faille a été corrigée jeudi dernier. La ligne de défense est simple : l’équipe de sécurité reçoit des centaines de rapports tous les jours et le découvreur s’était montré trop succinct dans sa description. Il rappelle en outre que les conditions du système Whitehat sont claires et qu’aucune utilisation d’un compte tiers ne peut être réalisée sans une permission idoine et explicite.

 

En définitive, il s’agit pour Facebook d’un rapport gratuit et d’un rappel à l’ordre pour tous les chercheurs de failles.

Commentaires (81)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Pourquoi ne pas avoir fermer sa tronche ? avec cette faille il aurais pu devenir riche en tant que blackhat :d

votre avatar

Je crie à l’acte antisémite ignoble, et demande au nom de l’uejf, du crif, de la ldj et de tous les humanistes et de la liberté d’expression l’extermination radicale de cet individu, et une amende de 60 millions d’euros pour que plus jamais cela ne se reproduise. Lol

votre avatar

Je comprends que FB ne puisse pas tolérer un black hacking juste pour prouver sa bonne foi.



Il aurait très bien pu créer un second compte d’exemple plutôt que de s’attaquer à de vrais comptes. Les techs FB auraient juste vérifier que les droits d’un compte vers l’autre n’étaient pas sensés autoriser un post et la démonstration aurait eu le même poids technique (mais moins médiatique).

votre avatar

Comme pour twitter, il faudrait envisager à fermer la palestine. Ah mais non, c’est déjà le cas.

votre avatar







Zaouli a écrit :



Je comprends que FB ne puisse pas tolérer un black hacking juste pour prouver sa bonne foi.



Il aurait très bien pu créer un second compte d’exemple plutôt que de s’attaquer à de vrais comptes. Les techs FB auraient juste vérifier que les droits d’un compte vers l’autre n’étaient pas sensés autoriser un post et la démonstration aurait eu le même poids technique (mais moins médiatique).





En même temps quand il l’a fait sur un compte moins “médiatique” on lui a dit “it’s not a bug”. Alors forcément je comprend qu’au bout d’un moment il veuille se faire entendre.


votre avatar

En prenant pour avatar la photo de Snowden, Khalil savait qu’il osait l’affrontement pur et simple.



• Je m’appelle Julian Assange et je suis le fondateur de Wikileaks. Je fournis gratuitement au public des informations sur les entreprises et les gouvernements.

Je suis un criminel.



• Je m’appelle Mark Zuckerberg et je suis le fondateur de Facebook. Je vends aux entreprises des informations privées sur des particuliers.

J’ai été désigné “Homme de l’Année” par Time Magazine.

votre avatar







polytan a écrit :



Et puis il ne faudrait pas non plus que Zuckerbeurk donne de l’argent à un Palestinien…





Ben c clair !!!





  • 1000



    Ils sont lamentables.

    Et dire qu’il y a des cons pour ENCORE aller sur ces sites de merde.



    Facebook twiter et autres joyeuse enculeries.

    Ce sont des sites pour moutons qui n’ont pas encore compris que le bétail, la barbaque à vendre c’est eux ….



    Ils sont le produit et ne s’en rendent même plus compte !



    Je pensais que l’homme était un peu intelligent.


votre avatar







AnthoniF a écrit :



Pourquoi ne pas avoir fermer sa tronche ? avec cette faille il aurais pu devenir riche en tant que blackhat :d





Ben tu vois c’est pas trop mon côté … mais à en voir les événements : on peut se poser sérieusement la question.


votre avatar







Ingénieur informaticien a écrit :



En prenant pour avatar la photo de Snowden, Khalil savait qu’il osait l’affrontement pur et simple.



• Je m’appelle Julian Assange et je suis le fondateur de Wikileaks. Je fournis gratuitement au public des informations sur les entreprises et les gouvernements.

Je suis un criminel.



• Je m’appelle Mark Zuckerberg et je suis le fondateur de Facebook. Je vends aux entreprises des informations privées sur des particuliers.

J’ai été désigné “Homme de l’Année” par Time Magazine.







<img data-src=" /> ++cpt <img data-src=" />



votre avatar

La prochaine fois, il n’aura qu’à publier la faille sans prévenir Facebook. Ainsi il ne violera pas les CGU <img data-src=" />

votre avatar

Minable de la part de Facebook

votre avatar

Attention un troll s’est caché dans ces commentaires, sauras-tu le repérer ? <img data-src=" />

votre avatar







tass_ a écrit :



Et bien sûr tu as eu accès à tout son échange de mails avec FB et son report sur la page whitehat pour affirmer qu’il n’a dit que cela…











Khalev a écrit :



En même temps le gars est pas forcément un pro, ni habitué des bugs reports et en plus n’a pas l’air à l’aise en anglais.







Qu’on soit habitué ou pas, on donne plus d’info que cela :



http://khalil-sh.blogspot.co.uk/p/facebook_16.html



—–Original Message to Facebook—–

From: kha@hotmail.com

To:

Subject: post to facebook users wall .



Name: ?halil

E-Mail: khal@hotmail.com

Type: privacy

Scope: www

Description: dear facebook team .



my name is khalil shreateh.

i finished school with B.A degree in Infromation Systems .



i would like to report a bug in your main site (www.facebook.com) which i discovered it .



repro:

the bug allow facebook users to share links to other facebook users , i tested it on sarah.goodin wall and i got success post

link - &gt;facebook.com Facebook—–End Original Message to Facebook—–







Je ne pense pas que ça soit compliqué pour FB de regarder le compte du monsieur, le compte de la dame, s’il y a bien eu un poste et, si oui, si le monsieur en avait les droits pour le faire au moment du post. Il donnait suffisamment d’infos pour ça. Après pour les détails techniques, un autre mail ou un contact via Facebook et c’était réglé.





Donc tu es en train de dire que les employés de FB auraient du s’accorder les droits de modifier les paramètres de confidentialité d’une de leurs utilisatrices et d’avoir potentiellement accès à des information privée sans son concentement ?


votre avatar









nateriver a écrit :



Comme pour twitter, il faudrait envisager à fermer la palestine. Ah mais non, c’est déjà le cas.







Ils ont qu’à demander à leurs freres arabes voisins d’ouvrir leurs frontieres.

Ah mais non, ils n’en veulent pas non plus de leur terrorisme.


votre avatar

je comprends pas les gens qui bossent gratos pour des multinationales richissimes !!! voir les beta testeurs de microsoft …. bosse pour linux pas pour les ricains !

yes man <img data-src=" />

votre avatar







Jed08 a écrit :



Donc tu es en train de dire que les employés de FB auraient du s’accorder les droits de modifier les paramètres de confidentialité d’une de leurs utilisatrices et d’avoir potentiellement accès à des information privée sans son concentement ?





Non, ils n’avaient qu’à demander une intervention de la NSA <img data-src=" />


votre avatar

<img data-src=" /> Zuckerberg



Voilà preuve en est <img data-src=" />

votre avatar

Y’a aussi le fait qu’apparemment il aurais pas donner assez d’information sur la faille en question, les informaticiens de FB auraient pas pu la reproduire donc pas pu la corrigée…

votre avatar

Rassurant de voir que PCi n’a pas traité la news comme le JdG… <img data-src=" />



Sinon:

L’expert a-t-il abusé ou Facebook est-il mauvais perdant ?



J’ai ma petite idée, mais trop trollesque… <img data-src=" />

votre avatar

Et puis il ne faudrait pas non plus que Zuckerbeurk donne de l’argent à un Palestinien…

votre avatar

Il faudrait que Facebook ait sa page HacKMeIfYouCan…

votre avatar







nucl3arsnake a écrit :



Y’a aussi le fait qu’apparemment il aurais pas donner assez d’information sur la faille en question, les informaticiens de FB auraient pas pu la reproduire donc pas pu la corrigée…





Oui c’est écrit dans la news…


votre avatar







JohnCaffey a écrit :



Rassurant de voir que PCi n’a pas traité la news comme le JdG… <img data-src=" />









En même temps, le JdG c’est pas le site des brèves et des sujets à trolls ?? <img data-src=" />


votre avatar

Ça lui apprendra à faire du bénévolat pour un système fermé.

<img data-src=" />

votre avatar

Hahaha, le sous titre.









Mme_Michu a écrit :



En même temps, le JdG c’est pas le site des brèves et des sujets à trolls ?? <img data-src=" />





Un peu, si. <img data-src=" />


votre avatar







JohnCaffey a écrit :



Rassurant de voir que PCi n’a pas traité la news comme le JdG… <img data-src=" />







Le Joueur du Grenier fait des news sur l’actualité informatique désormais <img data-src=" /> ?


votre avatar

il risque d’être moins gentil si il trouve un autre faille <img data-src=" />

votre avatar







chaps a écrit :



Le Joueur du Grenier fait des news sur l’actualité informatique désormais <img data-src=" /> ?





<img data-src=" />


votre avatar



Pour prouver une faille sur Facebook, il pirate le compte de Mark Zuckerberg





Vous appelez ça pirater un compte ?

Tout ce qu’il peut faire c’est poster sur le mur, il n’a accès à aucune information personnelle de MZ et ne peut effectuer aucune action sous son l’identité.



Le mot est un peu fort non ?

votre avatar

En même temps, si la faille concerne un compte tiers, comment prouver la faille, si on ne doit pas faire intervenir un compte tiers ?



C’est bien les clauses “white hat”, mais là, ça empêche de publier la faille …

votre avatar

Mouais, c’est quand même très très limite de la part de Facebook. Le mec poste un message poli, clair et détaillé, avec un lien vers ses échanges avec le service technique… je vois pas comment on pourrait penser qu’il est de mauvaise foi sur ce coup.



Ils auraient pu lui filer la thune, et en profiter pour faire un petit rappel du style “on laisse passer pour cette fois, mais n’oubliez pas les petits enfants : pirater le compte de quelqu’un d’autre, même pour démontrer une faille, c’est mal”. Ils passaient pour les gentils de l’histoire et basta.

votre avatar

it’s not a bug it’s a feature

votre avatar







Bill2 a écrit :



En même temps, si la faille concerne un compte tiers, comment prouver la faille, si on ne doit pas faire intervenir un compte tiers ?



C’est bien les clauses “white hat”, mais là, ça empêche de publier la faille …







D’après l’article :

“aucune utilisation d’un compte tiers ne peut être réalisée sans une permission idoine et explicite”


votre avatar







JohnCaffey a écrit :



<img data-src=" />







Bah c’était pas évident, je n’avais jamais entendu parler du Journal du Geek avant de tomber sur ton commentaire, et pour moi JdG ça a toujours été le Joueur du Grenier. Du coup j’ai eu un moment de flottement <img data-src=" />.


votre avatar

ben voilà il n’avait qu’à pirater en HTML5…<img data-src=" />

votre avatar







Konrad a écrit :



Oui c’est écrit dans la news…





Je sais, ce que je veux dire c’est qu’on a pas d’infos dessus autre que les dire de FB. <img data-src=" />


votre avatar







Jed08 a écrit :



Vous appelez ça pirater un compte ?

Tout ce qu’il peut faire c’est poster sur le mur, il n’a accès à aucune information personnelle de MZ et ne peut effectuer aucune action sous son l’identité.



Le mot est un peu fort non ?





C’est le mot.

C’est quand tu copies un film que le mot est trop fort <img data-src=" />


votre avatar

1000000\( de \) de distribué, ça montre à minima que facebook semble jouer le jeu. C’est la première news que je vois passer de ce genre.



Je pencherais pour une description pas assez précise du mode opératoire et non pas une mauvaise foi de facebook

votre avatar



Enfin, certains pensent que récompenser Shreateh serait une manière pour Facebook d’autoriser les chercheurs de faille à pirater des comptes tiers pour leurs démonstrations, ce qui ne pourrait pas être toléré.





OK, mais alors comment on sait qu’on a trouvé une faille si on peut pas essayer de l’exploiter ? A mon avis la plupart des découvreurs de faille ont violé les conditions d’utilisation de Facebook… ils l’ont juste fait de façon un peu moins visible. Facebook est vraiment de mauvaise fois dans cette histoire.

votre avatar







Nnexxus a écrit :



Mouais, c’est quand même très très limite de la part de Facebook. Le mec poste un message poli, clair et détaillé, avec un lien vers ses échanges avec le service technique… je vois pas comment on pourrait penser qu’il est de mauvaise foi sur ce coup.



Ils auraient pu lui filer la thune, et en profiter pour faire un petit rappel du style “on laisse passer pour cette fois, mais n’oubliez pas les petits enfants : pirater le compte de quelqu’un d’autre, même pour démontrer une faille, c’est mal”. Ils passaient pour les gentils de l’histoire et basta.







Euuu désolé, mais quand quelqu’un t’envoi un mail en disant :

the bug allow facebook users to share links to other facebook users , i tested it on sarah.goodin wall and i got success post

link - &gt;facebook.com FacebookEn ne donnant aucun indice sur comment trouver le bug, ni comment le corriger et en te disant : Ah mais vous pouvez pas le voir, il faut que vous soyez ami avec la personne…

Je doute que ce soit une explication claire et précise. Surtout quand pour prouver ton point de vue tu viole une seconde fois les clauses “white hat”


votre avatar







Jed08 a écrit :



Vous appelez ça pirater un compte ?

Tout ce qu’il peut faire c’est poster sur le mur, il n’a accès à aucune information personnelle de MZ et ne peut effectuer aucune action sous son l’identité.



Le mot est un peu fort non ?





Oui et non, imagine un “pour tout achat d’une TV, une 2nde offerte” sur la page d’un fournisseur, les lecteurs peuvent pas savoir si c’est vrais ou non donc peux y avoir des soucis ^^.



Imagine sur la page de l’Elyssé “nous allons inserer réforme ” ça pourrais piquer ^^“… Le community manager de la police nationale le sais, un post peux vite faire mal ;p







Bill2 a écrit :



En même temps, si la faille concerne un compte tiers, comment prouver la faille, si on ne doit pas faire intervenir un compte tiers ?



C’est bien les clauses “white hat”, mais là, ça empêche de publier la faille …





Un peu comme prouver que y’a du code sous licence dans u ntruc proprietaire sans avoir le droit de faire de retro-programmation <img data-src=" />







Nnexxus a écrit :



Mouais, c’est quand même très très limite de la part de Facebook. Le mec poste un message poli, clair et détaillé, avec un lien vers ses échanges avec le service technique… je vois pas comment on pourrait penser qu’il est de mauvaise foi sur ce coup.



Ils auraient pu lui filer la thune, et en profiter pour faire un petit rappel du style “on laisse passer pour cette fois, mais n’oubliez pas les petits enfants : pirater le compte de quelqu’un d’autre, même pour démontrer une faille, c’est mal”. Ils passaient pour les gentils de l’histoire et basta.





<img data-src=" />







Jed08 a écrit :



D’après l’article :

“aucune utilisation d’un compte tiers ne peut être réalisée sans une permission idoine et explicite”





Sauf que FB n’arrivant pas a reproduire la faille a du refusé.







chaps a écrit :



Bah c’était pas évident, je n’avais jamais entendu parler du Journal du Geek avant de tomber sur ton commentaire, et pour moi JdG ça a toujours été le Joueur du Grenier. Du coup j’ai eu un moment de flottement <img data-src=" />.





+1



votre avatar

C’est amusant, le chercheur s’est mis la photo de Snowden <img data-src=" />

votre avatar

“Ivre il pirate le compte de Zuckerberg”, ce n’est pas le JdG, mais Ben sur Gizmodo <img data-src=" />

votre avatar

Je rêve ou il a pris la photo d’Edward Snowden pour pirater celui de Sarah Goodin ?

votre avatar







nucl3arsnake a écrit :



Oui et non, imagine un “pour tout achat d’une TV, une 2nde offerte” sur la page d’un fournisseur, les lecteurs peuvent pas savoir si c’est vrais ou non donc peux y avoir des soucis ^^.







Sa faille ne traite pas de ça.

Son bug, permet juste de poster un lien sur le mur d’une personne qui n’est pas dans tes contacts comme si il en faisant partie.

Dans tous les cas, il y aura ton nom d’utilisateur qui s’affichera au dessus de ton message et tu ne peux pas te faire passer pour quelqu’un d’autre.





Imagine sur la page de l’Elyssé “nous allons inserer réforme ” ça pourrais piquer ^^“… Le community manager de la police nationale le sais, un post peux vite faire mal ;p





Sauf que la faille ne permet pas de faire cela <img data-src=" />







Un peu comme prouver que y’a du code sous licence dans u ntruc proprietaire sans avoir le droit de faire de retro-programmation <img data-src=" />





<img data-src=" />





Ou alors tu obtiens l’accord explicite d’un de tes contacts pour essayer de trouver des bugs ? Ou tu te crées un second compte ?

Mais il n’y a aucune raison pour légitimer le fait “d’attaquer” les comptes d’inconnus.







Sauf que FB n’arrivant pas a reproduire la faille a du refusé.





Je suis désolé mais dire : “j’ai trouvé un bug, regardez sur cette page !” ce n’est pas un report de bug clair et précis.


votre avatar







tom103 a écrit :



OK, mais alors comment on sait qu’on a trouvé une faille si on peut pas essayer de l’exploiter ? A mon avis la plupart des découvreurs de faille ont violé les conditions d’utilisation de Facebook… ils l’ont juste fait de façon un peu moins visible. Facebook est vraiment de mauvaise fois dans cette histoire.







Tu peux attaquer le compte d’un ami avec son consentement explicite,

tu peux te crée un deuxième compte factice pour démontrer ton exploite,

tu peux expliquer comme il ce doit le moyen d’exploité la faille.



En attaquant un compte avec autant de visibilité que celui de mark il c’est plus comporter comme un blackHat que comme un whiteHat. Et c’est pas bien!


votre avatar







Jed08 a écrit :



Je suis désolé mais dire : “j’ai trouvé un bug, regardez sur cette page !” ce n’est pas un report de bug clair et précis.





Et bien sûr tu as eu accès à tout son échange de mails avec FB et son report sur la page whitehat pour affirmer qu’il n’a dit que cela…


votre avatar







Aither99 a écrit :



tu peux te crée un deuxième compte factice pour démontrer ton exploite,







C’est pas contre les conditions d’utilisation de Facebook ça ? Un compte = une personne physique ?


votre avatar







chaps a écrit :



Bah c’était pas évident, je n’avais jamais entendu parler du Journal du Geek avant de tomber sur ton commentaire, et pour moi JdG ça a toujours été le Joueur du Grenier. Du coup j’ai eu un moment de flottement <img data-src=" />.





Mes confuses… <img data-src=" />


votre avatar







Jed08 a écrit :



Je suis désolé mais dire : “j’ai trouvé un bug, regardez sur cette page !” ce n’est pas un report de bug clair et précis.





En même temps le gars est pas forcément un pro, ni habitué des bugs reports et en plus n’a pas l’air à l’aise en anglais.



Je ne pense pas que ça soit compliqué pour FB de regarder le compte du monsieur, le compte de la dame, s’il y a bien eu un poste et, si oui, si le monsieur en avait les droits pour le faire au moment du post. Il donnait suffisamment d’infos pour ça. Après pour les détails techniques, un autre mail ou un contact via Facebook et c’était réglé.


votre avatar







tass_ a écrit :



Et bien sûr tu as eu accès à tout son échange de mails avec FB et son report sur la page whitehat pour affirmer qu’il n’a dit que cela…





Ses bug reports sont sur son blog. Il reste quand même très succint.


votre avatar

Je t’enverrai ça à Guantanamo moi … ça serait vite réglé, et ça découragerait ceux qui voudraient recommencer … <img data-src=" />

votre avatar

Si le mec venait d’Israël on lui aurait filer qq millions pour la faille. Mais là on a affaire avec l’axe du mal. C’est une excuse suffisante pour que les amis de zuckerBERG bombardent gaza au phosphore blanc lol


votre avatar







Ingénieur informaticien a écrit :



Je t’enverrai ça à Guantanamo moi … ça serait vite réglé, et ça découragerait ceux qui voudraient recommencer … <img data-src=" />







<img data-src=" />



Il a fallu attendre le 36eme commentaire pour voir poindre des commentaires/troll sur ses origines. Il y a eu de la retenue <img data-src=" /> <img data-src=" />



Celui de nateriver est par contre un poil moins caustique…


votre avatar







Nithril a écrit :



<img data-src=" />



Il a fallu attendre le 36eme commentaire pour voir poindre des commentaires/troll sur ses origines. Il y a eu de la retenue <img data-src=" /> <img data-src=" />



T’as loupé le 4è com. <img data-src=" />


votre avatar







coucou_lo_coucou_paloma a écrit :



T’as loupé le 4è com. <img data-src=" />







Et zut… <img data-src=" />


votre avatar

Rien que le sous-titre, était évocateur non ?

votre avatar







JohnCaffey a écrit :



Rassurant de voir que PCi n’a pas traité la news comme le JdG… <img data-src=" />



Sinon:

J’ai ma petite idée, mais trop trollesque… <img data-src=" />





Les jdg, cette pauvre excuse pour un journal <img data-src=" />


votre avatar







nateriver a écrit :



<img data-src=" />







(et c’est un juif qui te dit ça :p)


votre avatar







raudi a écrit :



Fessebouc, c’est déjà une faille de sécurité. Achetez-vous plutôt un cerveau !







Je t’en prie, y a promos pour les QI de chèvre, tu devrais y aller en vitesse.

Sinon je te propose d’aller les élever, les chèvres, loin d’un ordinateur.


votre avatar







ledufakademy a écrit :



ah .



Avant les portables ont faisant comment pour se parler ?

Avant FaceBook on faisait comment pour rester en contact ?



Tu as les mails, tu as les blogs hébergés sur un ptit NAS à 150 euros, accessible pour tes parents amis … et ca ne coute rien, c confidentiel , tu le maitrise.



C comme bien mangé ca ne coute pas cher : faut juste vouloir.



Amen.







Je vais pas contraindre des gens de tous horizons à se greffer sur des portails de niche, j’emploie une méthode accessible et globalisée. Et si on remonte aux Cro-Magnons, les hommes allaient trainer les femmes par les cheveux, en raisonnant bêtement comme tu le fais. <img data-src=" />



Ne pas vivre avec son temps fait partie de l’exclusion sociale, comme ces réacs qui se refusent à avoir la TV parce que c’est trop mainstream. <img data-src=" />



Mes messages sont parfois plus urgents que ce que permettaient le télégraphe ou les pigeons voyageurs et les gens ne sont pas forcément dispo tous au même temps pour les emmerder au téléphone.



<img data-src=" />



Et que Zuckerberg vende la photo de mon chat partagé avec ma grand-mère à des Illuminatis, j’en ai franchement rien à br*nler… <img data-src=" />


votre avatar







WilliamSauron a écrit :



Tiens, je rêve ou bien PCinpact s’est fait pirater par un hacker allemand ? Pourquoi “PCINpäkt” dans le titre ?







Indice : laisse ton pointeur de souris sur le logo <img data-src=" />


votre avatar







rc_outside a écrit :



(et c’est un juif qui te dit ça :p)







<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



votre avatar







ZanTTka a écrit :



Désolé, c’est le seul moyen que j’ai de rester en contacts avec amis et famille éparpillés aux quatre coins de l’hexagone, tu m’en voudras pas si je vends mon âme à Satan selon tes critères ? Je vais réciter trois Ave Maria et deux notre père pour faire pénitence… <img data-src=" />







Ça devrait être comme les paquets de cigarettes, Facebook tue votre vie privée et celle de votre entourage… <img data-src=" /> si tout le monde arrête, on retournera aux bonne vieilles méthodes qui consistait à s’appeler et se voir de temps en temps…



Au début, ça fait peur, au final, on y gagne ! <img data-src=" />



Ça fait deux ans que j’ai arrêté, je ne suis pas isolé pour autant, au contraire, j’ai amélioré mon réseau relationnel ! Ma vie sociale respire beaucoup mieux ainsi !


votre avatar







mp3yeur a écrit :



Ça devrait être comme les paquets de cigarettes, Facebook tue votre vie privée et celle de votre entourage… <img data-src=" /> si tout le monde arrête, on retournera aux bonne vieilles méthodes qui consistait à s’appeler et se voir de temps en temps…



Au début, ça fait peur, au final, on y gagne ! <img data-src=" />



Ça fait deux ans que j’ai arrêté, je ne suis pas isolé pour autant, au contraire, j’ai amélioré mon réseau relationnel ! Ma vie sociale respire beaucoup mieux ainsi !







J’ai déjà répondu à ça plus haut, je vais pas me fatiguer une seconde fois :)


votre avatar







Mme_Michu a écrit :



En même temps, le JdG c’est pas le site des brèves et des sujets à trolls ?? <img data-src=" />







Je me demandais ce que Fred Du Grenier venait faire la-dedans <img data-src=" />



Pour le journal du geek, c’est un peu le newsfeed pour ados boutonneux, toujours écrit à la va-vite pour rester dans le coup et un seul son de cloche <img data-src=" />


votre avatar







ledufakademy a écrit :



Ben c clair !!!





  • 1000



    Ils sont lamentables.

    Et dire qu’il y a des cons pour ENCORE aller sur ces sites de merde.



    Facebook twiter et autres joyeuse enculeries.

    Ce sont des sites pour moutons qui n’ont pas encore compris que le bétail, la barbaque à vendre c’est eux ….



    Ils sont le produit et ne s’en rendent même plus compte !



    Je pensais que l’homme était un peu intelligent.







    Désolé, c’est le seul moyen que j’ai de rester en contacts avec amis et famille éparpillés aux quatre coins de l’hexagone, tu m’en voudras pas si je vends mon âme à Satan selon tes critères ? Je vais réciter trois Ave Maria et deux notre père pour faire pénitence… <img data-src=" />


votre avatar

Désolé, mais le sobriquet de Snowden ne touchera rien <img data-src=" /><img data-src=" />

votre avatar







ZanTTka a écrit :



Désolé, c’est le seul moyen que j’ai de rester en contacts avec amis et famille éparpillés aux quatre coins de l’hexagone, tu m’en voudras pas si je vends mon âme à Satan selon tes critères ? Je vais réciter trois Ave Maria et deux notre père pour faire pénitence… <img data-src=" />





ah .



Avant les portables ont faisant comment pour se parler ?

Avant FaceBook on faisait comment pour rester en contact ?



Tu as les mails, tu as les blogs hébergés sur un ptit NAS à 150 euros, accessible pour tes parents amis … et ca ne coute rien, c confidentiel , tu le maitrise.



C comme bien mangé ca ne coute pas cher : faut juste vouloir.



Amen.


votre avatar



Pour prouver une faille sur Facebook, il pirate le compte de Mark Zuckerberg





C’est dingue d’en arriver à de telle extrémités pour toucher sa prime de chasseur de failles. <img data-src=" />

votre avatar







127.0.0.1 a écrit :



C’est dingue d’en arriver à de telle extrémités pour toucher sa prime de chasseur de failles. <img data-src=" />





fallait être un “bon” chasseur <img data-src=" />


votre avatar







WereWindle a écrit :



fallait être un “bon” chasseur <img data-src=" />







Sans son sien <img data-src=" />


votre avatar

Parce qu’il est un bon chat soeur <img data-src=" />

votre avatar







nateriver a écrit :



Si le mec venait d’Israël on lui aurait filer qq millions pour la faille. Mais là on a affaire avec l’axe du mal. C’est une excuse suffisante pour que les amis de zuckerBERG bombardent gaza au phosphore blanc lol







<img data-src=" />



Ca ne pouvait pas être un Israëlien, eux il construisent les murs, ils ne les piratent pas <img data-src=" />


votre avatar







rc_outside a écrit :



<img data-src=" />



Ca ne pouvait pas être un Israëlien, eux il construisent les murs, ils ne les piratent pas <img data-src=" />





<img data-src=" />


votre avatar







Jed08 a écrit :



Qu’on soit habitué ou pas, on donne plus d’info que cela :





Ça tombe bien il en donne un peu plus.

“the vulnerability allow’s facebook users to share posts to non friends facebook users , i made a post to sarah.goodin timeline and i got success post ”



On lui a jamais demandé de donner de détail technique, s’il en fallait pourquoi le gars de Facebook n’en a pas demandé dans son premier ou second mail?



De plus si le bug report n’est pas complet tu ne dis pas “ceci n’est pas un bug”, tu dis “bug report non pris en compte car pas assez précis”.







Jed08 a écrit :



Donc tu es en train de dire que les employés de FB auraient du s’accorder les droits de modifier les paramètres de confidentialité d’une de leurs utilisatrices et d’avoir potentiellement accès à des information privée sans son concentement ?





Non je n’ai pas dit ça. Juste vérifier l’existence d’un message allant de X vers Y, même pas besoin de voir le contenu du message. Si vraiment ils ne peuvent pas, ils donnent un compte de test et basta. Ça doit leur prendre 2 min de créer un compte de test et de le supprimer, c’est pas bien compliqué.



Pour moi il est surtout tombé soit sur un branleur qui veut pas se casser la tête, soit sur un incompétant qui pensait réellement que c’était normal de pouvoir poster des messages sur la timeline de nos non-amis.


votre avatar







Khalev a écrit :



Ça tombe bien il en donne un peu plus.

“the vulnerability allow’s facebook users to share posts to non friends facebook users , i made a post to sarah.goodin timeline and i got success post ”



On lui a jamais demandé de donner de détail technique, s’il en fallait pourquoi le gars de Facebook n’en a pas demandé dans son premier ou second mail?







Je suis désolé, mais dire j’ai trouvé un bug qui permet de faire ça sans donner aucun détail sur la manière dont il s’y est pris, c’est très léger !

A la réponse du premier, mail les gars de FB lui répondent qu’ils ont juste une erreur en cliquant sur le lien envoyé





De plus si le bug report n’est pas complet tu ne dis pas “ceci n’est pas un bug”, tu dis “bug report non pris en compte car pas assez précis”.





Quand le gars te dis à la fin du second mail : “est ce que vous pouvez me dire ce que je peux obtenir [comme récompense] pour tous ces reports de vulnérabilités” après avoir essayé de te bullshiter (oui, j’appelle ça du bullshit la plupart de ses mais. Mais si au final il avait raison, ses messages ne paraissent pas sérieux) je peux comprendre que les gars de FB avaient autre chose à faire que de faire exactement ce qu’il disait.







Pour moi il est surtout tombé soit sur un branleur qui veut pas se casser la tête, soit sur un incompétant qui pensait réellement que c’était normal de pouvoir poster des messages sur la timeline de nos non-amis.





C’est possible.

Mais pour moi ses messages ressemblent vraiment à une blague ou plutôt à un gars qui essaye de trouver n’importe quoi qui sort de l’ordinaire pour se faire du fric (surtout que au final son truc est pas si dangereux).


votre avatar







Jed08 a écrit :



Mais pour moi ses messages ressemblent vraiment à une blague ou plutôt à un gars qui essaye de trouver n’importe quoi qui sort de l’ordinaire pour se faire du fric (surtout que au final son truc est pas si dangereux).





Les message ont pas l’air sérieux parce que le gars galère en anglais, comme je l’ai dit, créer un compte de test ça doit leur prendre 1 min à faire, tu demandes au gars de reproduire son truc dessus et de t’envoyer un mail quand c’est fait. Voilà en 1min de ton temps tu sais si tu as affaire à un gars sérieux ou non. Pendant qu’il fait son truc dans son coin toi tu peux continuer ton taff.



Le truc est pas si dangereux, mais je suis pas sûr que n’importe qui aimerait qu’on poste des lien vers n’importe quoi sur leur timeline. Tu peux aussi créer un compte avec le nom d’une star (ou un nom proche), poster sur la timeline du compte officiel d’une autre star, et hop ton compte vient de gagner en légitimité (si tu peux poster un lien sur le compte de la star, c’est que tu es son ami, donc c’est le vrai compte). Pas mal pour faire du phishing ou autre.


votre avatar

Tiens, je rêve ou bien PCinpact s’est fait pirater par un hacker allemand ? Pourquoi “PCINpäkt” dans le titre ?

votre avatar

Fessebouc, c’est déjà une faille de sécurité. Achetez-vous plutôt un cerveau !

votre avatar

Bon ben la prochaine fois, vous saurez qu’il faut mieux envoyer votre exploit a FB:




  • demander le FB du mec du support sans donner aucune info technique.

  • s’il refuse de payer, appliquer l’exploit a un mec lamba et en reparler au support en menaçant de publier le truc publiquement

  • s’il refuse de payer, appliquer l’exploit a Marc…



    Dommage qu’une compagnie si gigantesque que FB se prenne la tête pour sauver 500$

Pour prouver une faille sur Facebook, il pirate le compte de Mark Zuckerberg

  • « Désolé, ceci n'est pas un bug » 

  • Mark Zuckerberg, l'étape supèrieure

  • La douche froide 

  • Mauvaise méthode contre mauvaise foi 

Fermer