/ / Eine weitere gro├če Sicherheitsl├╝cke bei Facebook: Keine Belohnung f├╝r den Forscher

Eine weitere gro├če Sicherheitsl├╝cke auf Facebook: Keine Belohnung f├╝r den Forscher

Khalil Shreateh, ein Webentwickler, der jedoch pleite gingDie Privatsph├Ąre auf Facebook wurde nicht belohnt, weil sie einen Fehler auf Facebook entdeckt hatte. Der Hauptgrund war, dass der Forscher einen echten Account zum Testen dieser Schwachstellen verwendete und der soziale Riese sagte, dass es Kommunikationsprobleme zwischen Facebook und Khalil gab. Heute hat ein anderer Sicherheitsforscher, Ehraz Ahmed, eine gro├če Sicherheitsl├╝cke entdeckt, bei der ein Benutzer jedes Facebook-Konto l├Âschen kann, indem er nur eine URL verwendet. Die Sicherheitsl├╝cke auf Facebook hat das Unternehmen nun aber auch Ehraz nicht belohnt.

Facebook folgt streng ihren Richtlinien, neinGanz gleich, wie gro├č die Unterst├╝tzung f├╝r den Forscher in der ├ľffentlichkeit ist. Facebook kann zumindest die vom Forscher festgestellte Sicherheitsl├╝cke ber├╝cksichtigen und erh├Ąlt die Pr├Ąmie.

Der schwerwiegende Fehler, der den Hacker zum L├Âschen eines Facebook-Kontos veranlasste, lag in einer URL. Die folgende URL veranlasste den Forscher, alle von ihm gew├╝nschten Facebook-Konten zu l├Âschen.

https://www.facebook.com/ajax/whitehat/delete_test_users.php?
fb_dtsg=AQA1E-WE&selected_users[0]=[Victems Profile ID]&__user=[Attackers Profile ID]&__a=1

Ehraz hat diesen anf├Ąlligen Link auf Facebook gemeldetaber sie gaben kein Kopfgeld daf├╝r, eine solche Verwundbarkeit zu finden. Der Forscher verwendete Testkonten zum Testen dieser Sicherheitsanf├Ąlligkeiten. Facebook hat eine Antwort f├╝r seinen Bug-Repot gesendet, in der es hei├čt, dass die Sicherheitsanf├Ąlligkeit nur in Testkonten und nicht in echten Profilen vorhanden ist. Ehraz schrieb jedoch ein Blogeintrag ├╝ber dieses Geschehen und zeigte auch einen Beweis, dassDer Bug funktionierte auch auf echten Accounts. Facebook schickte ihm die Antwort, nachdem er den Fehler behoben hatte, aber Ehraz hat geschickt ein Video ├╝ber den schwerwiegenden Sicherheitsfehler gemacht.

Das Video, das er gemacht hat, ist unten:

[vimeo 73853715]

Der echte Account, den Ehraz komplett gel├Âscht hat und der noch nicht stichhaltig ist. Als wir versuchten, zu dem Profil zu navigieren, das er benutzt hatte, wurde es gel├Âscht.

HexGroup Ehraz Profil gel├Âscht

Diese dauernden Verhaltensweisen von Facebook k├ÂnnenEntmutigen Sie die Forscher, Schwachstellen auf Facebook zu finden, und veranlassen Sie sie m├Âglicherweise, die Bugs gegen Geld zu verkaufen. Facebook soll einen weiteren schwerwiegenden Fehler behoben haben. Das hei├čt, ein Fehler beim L├Âschen der bisher vorhandenen Fotos eines Benutzers wurde ebenfalls behoben.

Was denkst du dar├╝ber? Teilen Sie Ihre Kommentare unten.

0

Ähnliche Artikel


Kommentare (0)

Einen Kommentar hinzuf├╝gen