Pull to refresh

Comments 81

Таки можно организовать фонд хабра для поощрения таких людей, которым отказались платить. Конечно только после публикации статьи на хабре и признания проблемы действительно багом.
Это не будет похоже на публичную продажу багов и уязвимостей? :-)
После того как сообщил о проблеме в поддержку и они не признали это багом? Думаю нет.
Специалисты по безопасности Facebook и Цукерберг увидев аватарку Сноудена, не захотели переезжать в Шереметьево, для ожидания политического убежища в России. Халил Шритех — свое возьмет, отличный старт международной карьеры.
[ирония]Интересно сколько Халил отвалил Цукербергу за такую эффектную рекламную компанию?[/ирония]
Отказ был вполне ожидаемым и обоснованным. На странице Whitehat у них черным по белому написано
make a good faith effort to avoid privacy violations, destruction of data

Please use a test account instead of a real account when investigating bugs… Do not interact with other accounts without the consent of their owners.


Чувак же не только не смог описать, что он нашел, но и нарушил все эти правила.
Ну или такая версия: тп не поняли описания уязвимости, объявив это фичей. Чувак воспользовался этой фичей, а его зобанили
Возмущённый Халил в ответ на это взломал страницу Цукерберга

Теперь запостить на стене называется взломать? Что конкретно он взламывал?
Намного лучше звучала бы версия — «Хакер взломал Facebook! Скандалы, интриги, расследования».
Судя по самым рейтинговым комментариям этого поста, лучшим вариантом был бы: «Палестинские повстанцы взломали еврейский сайт».
Спасибо, зашел увидеть этот комментарий. Настроение подняли!:)
В наших реалиях возможно было бы такое: «Хакер взломал страницу Цукерберга за еду.»
«В США, как обычно, всё плохо. На сей раз жадные до денег владельцы одного из аналогов отечественного вконтакте отказываются выплачивать заработанные деньги палестинским работникам. ГосДума единогласно приняла закон, запрещающий переводы денежных средств в США»
0Day просто… Дали бы хоть 500$ не было бы такого шума.
ну так-то это возможность рассылать спам, а спам (в разных формах), наверное, самая раздражающая вещь в современном интернете
Вот так вот и подрывается вера в честность и объективность руководства проектов. Люди помогают дыры искать и закрывать, чтоб они миллиарды зарабатывали, а те в свою очередь начинают условия диктовать… не правильно, не по совести.
Это же сразу понятно.
PR правильно работает. Мол, Facebook такой классный, всем платит за найденные баги, — прочитает обычный пользователь и пройдет мимо.

А как только попробуешь что-то зарепортить, даже без корыстного умысла, натолкнешься на кучу бюрократии. Тут один индус не понял что же такое ты обнаружил, там другой индус ничего по сути не проверив отписался, что у него все нормально. И ты думаешь, что уж Главный-то тебя услышит и поймет. В конце концов, это же у НИХ критический баг, это же ИМ надо!

Жлобы. За такую уязвимость ему мешок денег надо было дать.
Очень интересно, что среди пожертвований есть разовые в 3 + 3 + 1 тысячу долларов.
Я наверно окажусь в меньшинстве, но они правильно сделали что не выплатили ему денег. Если бы они таки отлистали ему это было бы де-факто поощрением ломать аккаунты «простых смертных» ради поиска багов. Это бы могло осложнить жизнь админам на ровном месте, а думается проблем у них и без этого хватает. Кроме того, после такого хода нашелся бы еще один (и не один) умник наломавший бы пачку-две аккаунтов и сказазвший «а там бага была» и мордокнига была бы уже вынуждена заплатить и ему, таким образом откровенно спонсируя не поиск багов, а ломание своего деньго-печатающего станка. Понятно, что это не нужно вообще никому, кроме самого хакера.
Другое дело, что им (да и хакеру) надо было не доводить до этого и как-то решить проблему до патовой ситуации, но тут «виноваты оба»(с).
насколько я понял, он и не просил денег вовсе. Да, у них есть правила по выплате вознаграждений за найденный баги, но он не просил денег, следовательно, отправил отчет о баге в удобной для него форме, попросив связаться с ним.
А возмутило его скорее безответственное отношение безопасников («это не баг») и ответы в стиле «facebook has all the right to disable any facebook account without any reason given» (после блокировки его аккуанта)
Ну я нигде и не утверждал что он прорсил;) Мой месседж был в том что общественность не обоснованно воет о том, что мордокнига должна дать ему денег. С тем что саппорт (или кто там у них багами занимается) ступил, мягко говоря, никто и не спорит.
Парень нашёл уязвимость, продемонстрировал, гоните шекели!
да или нет, но может характерно для фалестинского хакера
А может дело в аватарке со Сноуденом?
[irony]На самом деле все было так: Сноуден сидел там в Шереметьево, скучно, да и деньги они ж величина небесконечная, вот и решил попиариться, денег для продолжения эпопеи набрать и он нам решил нам как бы намекнуть… [/irony]
Для парня хорошее дело сделали, вряд ли бы он получил такую сумму от Facebook.
P.S Хабр иногда слишком походит на баш и еще один популярный ресурс с анекдотами.
Корректнее:

… о безработном палестинском веб-разработчике Халиле Шритехе (خليل شريتح)
казалось бы, какое отношение имеет нахождение бага в фейсбуке к палестино-израильскому конфликту… но нет же, каждый второй решил блеснуть своим чувством юмора…
Никогда, никогда не пишите на хабр в состоянии наркотического опьянения :)
UFO just landed and posted this here
Отлично, уже 10,900$ набрали. Все-таки здорово знать, что есть и такая помощь от сообщества!

Update: Thank you so much to everyone who helped make this happen for Khalil. I am leaving this active while I work with gofundme to transfer the funds to Khalil, whom I am now in contact with. I hope this has raised awareness of the importance of independent researchers. I equally hope it has reminded other researchers that while working with technology companies can sometimes be frustrating, we can never forget the greater goal; to help the Internet community at large, just as that community has helped donate over ten thousand dollars to Khalil within a day.

All proceeds raised from this fund will be sent to Khalil Shreateh to help support future security research.
Only those users with full accounts are able to leave comments. Log in, please.