Το bug που εντόπισε ο λεγόμενος «white hat» χάκερ από την Παλαιστίνη αφορά στο δικαίωμα δημοσίευσης στο χρονολόγιο (γνωστό ως «τοίχος» ως το 2011) οποιουδήποτε μέλους του Facebook. Σύμφωνα με τους κανόνες λειτουργίας της υπηρεσίας, κανείς δεν μπορεί να δημοσιεύσει στο Χρονολόγιο ενός άλλου μέλους εάν δεν έχει γίνει αποδεκτό το σχετικό αίτημα φιλίας που πρέπει να έχει αποστείλει. Για να δημοσιεύσει λοιπόν κανείς στον τοίχο ενός άλλου στο Facebook θα πρέπει να είναι φίλοι.
Διαφορετικά, ο οποιοσδήποτε θα μπορούσε να αναρτά για παράδειγμα, διαφημιστικά ή δυσφημιστικά μηνύματα ορατά στο κοινό του εκάστοτε μέλους (στο Facebook οι δημοσιεύσεις στον «τοίχο» ενός φίλου είναι ορατές στο κοινό που μπορεί να επιλέξει ο ιδιοκτήτης του). Επίσης, έτσι θα άρχιζε να «κουτσαίνει» το σύστημα προώθησης δημοσιεύσεων του ίδιου του Facebook, προώθηση για την οποία οι ενδιαφερόμενοι (από επιχειρήσεις έως ιδιώτες) καλούνται να πληρώσουν.
Εντούτοις, η τεκμηρίωση που δηλώνει πως έστειλε ο Khalil Shreateh δεν διερευνήθηκε επαρκώς ή δεν αναπαράχθηκε επιτυχώς για να επιβεβαιωθεί του λόγου το ασφαλές. Το bug απορρίφθηκε ως ανεπαρκώς τεκμηριωμένο.
Ο προγραμματιστής επέμεινε. Μετά την δεύτερη απόπειρα να πείσει τον ομάδα ασφάλειας του Facebook ότι το bug είναι υπαρκτό αλλά και σοβαρό, αποφάσισε να πάρει δραστικά μέτρα. Ο χάκερ έγραψε στον τοίχο του Mark Zuckerberg, χωρίς την απαιτούμενη συναίνεση δεδομένου ότι δεν είχε γίνει αποδεκτός ως «φίλος» ή συνδρομητής του ιδρυτή του Facebook. Στην σχετική ανάρτηση, ο Shreateh έγραφε ότι βρήκε ένα σημαντικό bug στο Facebook, καθώς και ότι έχει ήδη επικοινωνήσει με την αρμόδια ομάδα χωρίς αποτέλεσμα. Σε μερικά δευτερόλεπτα, υπήρξε η επιθυμητή απόκριση και το bug «έκλεισε». Πάντως, ο Khalil Shreateh δεν αποζημιώθηκε ούτε καν με το ελάχιστο ποσό των 500 δολαρίων για την αναφορά «ευπάθειας» στο Facebook.
Πώς έγινε η δημοσίευση στο Χρονολόγιο του Mark Zuckerberg
Εάν η διαδικασία ήταν εφικτό να αυτοματοποιηθεί και να εκτελεστεί για πλήθος τυχαία παραγόμενων ID τότε θα προέκυπτε η δημοσίευση του ίδιου μηνύματος με οποιοδήποτε, πιθανότατα αμφιλεγόμενο, περιεχόμενο, σε πολλούς χρήστες και πολλαπλάσιο κοινό. Δηλαδή, θα αποτελούσε υπερόπλο στα χέρια των spammer.
Το Facebook αρνήθηκε να αποζημιώσει τον Khalil Shreateh με το επιχείρημα ότι έγινε φάουλ με την δημόσια επίδειξη. Οι κανόνες ορίζουν πως δεν επιτρέπεται να χρησιμοποιούνται παρά οι λεγόμενοι λογαριασμοί δοκιμών (test accounts), οι οποίοι μάλιστα δεν μπορούν να μετατραπούν σε πραγματικούς. Το γεγονός αποτελεί τρέχον θέμα συζήτησης εντός και εκτός των τειχών του Facebook (με hashtag Khalil). Ο Khalil, που αρνείται τον τίτλο του «χάκερ», έχει δεχτεί πλήθος προσφορών για εργασία, γεγονός που χαρακτηρίζει αναγνώριση των ικανοτήτων του.
Ανησυχία προκαλεί τέλος η αναφορά του Shreateh στην ασφάλεια στο Facebook. Ο προγραμματιστής γράφει στην σελίδα του στο Facebook όπου χρησιμοποιεί ως εικόνα προφίλ την φωτογραφία του Έντουαρντ Σνόουντεν,πως το σάιτ «έχει διαρροές» και προσθέτει πως η πολιτική που ακολουθείται από την αρμόδια ομάδα θα μπορούσε τελικά να οδηγήσει ακόμα και στην κατάλυση της υπηρεσίας από «κακούς χάκερ», από τις πρακτικές των οποίων διαχωρίζει την θέση του.
Οδηγός Αγοράς θεσσαλονίκης blog 
Σχολιάστε
Comments 0