• Ce site utilise des cookies. En continuant à utiliser ce site, vous acceptez l'utilisation des cookies. En savoir plus.


Un expert palestinien pirate le compte de Mark Zuckerberg!!!

  • Auteur de la discussion deleted146563
  • Date de début
Statut
N'est pas ouverte pour d'autres réponses.
D

deleted146563

Invité
#1
Un expert en sécurité palestinien a réussi à pirater la page de Mark Zuckerberg, le fondateur de Facebook, pour publier un message d'alerte sur la vulnérabilité du réseau social.


Après avoir détecté une vulnérabilité dans le réseau social Facebook, Khalil Shreateh, un palestinien expert en sécurité sur Internet, a piraté
Vous devez vous inscrire pour voir les liens !
. Il a utilisé une faille qui permet à des utilisateurs de publier des messages sur la page d'autres membres de Facebook, même s'ils ne figurent pas dans leur liste d'amis.

Le pirate de 31 ans affirme sur son blog qu'il a été "contraint" de publier le rapport de la faille sur le profil Facebook de Mark Zuckerberg parce que le géant américain refusait de le payer.

Pas de récompense pour le hacker palestinien

Car Khalil Shreateh a contacté l'équipe de sécurité Facebook à laquelle il a signalé la "faille", une procédure qui permet, en principe, de recevoir une prime de 500 dollars environ. Manque de chance, un ingénieur de Facebook estime, dans un mail, qu'il ne s'agit "pas d'une faille", mais d'un piratage.

Exit les 500 dollars, l'expert en sécurité ne recevra pas de récompense. Facebook a en effet jugé que le chercheur avait enfreint les règles d'utilisation du site et n'avait en outre pas suivi les principes d'une "divulgation responsable".

Le compte Facebook de Khalil Shreateh a été désactivé par "précaution", et la faille a été corrigée depuis. La vidéo ci-dessous montre comment fonctionne cette faille:
 

PNL

Vie ce jours comme si c'étais le dernier.
Premium
Inscrit
27 Avril 2013
Messages
1 086
J'aime
175
Points
3 013
#2
C'est vrais étonnent !
Mais franchement , j'y suis sur Facebook mais jamais vue de message aussi bizarre :o
 

Fabien 🚀

Administrateur
Administrateur
Inscrit
13 Janvier 2012
Messages
5 689
J'aime
18 959
Points
11 035
#7
Khalil - خليل a découvert cette faille et l'a soumise à Facebook via ce lien :
Vous devez vous inscrire pour voir les liens !


Hi Ḱhalil,
I dont see anything when I click link except an error.
Thanks,

Emrakul
Security
Facebook

-----Original Message to Facebook-----
From: kha****@hotmail.com
To:
Subject: post to facebook users wall .

Name: Ḱhalil
E-Mail: khal****@hotmail.com
Type: privacy
Scope: www
Description: dear facebook team .

my name is khalil shreateh.
i finished school with B.A degree in Infromation Systems .

i would like to report a bug in your main site (
Vous devez vous inscrire pour voir les liens !
) which i discovered it .

repro:
the bug allow facebook users to share links to other facebook users , i tested it on sarah.goodin wall and i got success post
link - >
Vous devez vous inscrire pour voir les liens !

-----End Original Message to Facebook-----
Emrakul s'occupant de la sécurité sur Facebook lui répond qu'il ne voit rien en cliquant sur le lien si ce n'est une erreur.

Le lien dans l'email est l'article qu'il a partagé sur le mur de Sarah Goodin, personne qui a étudiée au même endroit que Mark Zuckerberg et si l'agent de sécurité ne voyait qu'une erreur en cliquant sur le lien c'est car il n'avait pas Sarah Goodin en amis et que celle-ci avait tournée ses paramètres de confidentialité sur "Amis seulement"...

Khalil n'avait pas Sarah Goodin non plus en amis, mais il voyait cette publication car grâce à la faille qu'il a découverte, il peut publier sur le mur de n'importe qui, donc sur le mur de personnes qu'il n'a pas en amis. Il voyait les publications qu'il publiant, mais pas celles ne provenant pas de lui.



L'erreur de cet agent résulte donc de la suite des événements, Khalil à même prévenu qu'il était apte à publier sur la profil de Mark pour signaler cette faille mais qu'il n'a pas envie de la faire afin de respecter la politique de confidentialité.



Hi Ḱhalil,

I am sorry this is not a bug.
Thanks,

Emrakul
Security
Facebook

-----Original Message to Facebook-----
From: khali***@hotmail.com
To:
Subject: urgent : post to non friends facebook users wall .
Name: Ḱhalil
E-Mail: kh***@hotmail.com
Type: privacy

Scope: www

Description: dear facebook team .
my name is khalil shreateh.
i finished school with B.A degree in Infromation Systems .
i would like to report a bug in your main site (
Vous devez vous inscrire pour voir les liens !
) which i discovered.
i'am reporting this bug for the second time.

repro:
the vulnerability allow's facebook users to share posts to non friends facebook users , i made a post to sarah.goodin timeline and i got success post
link - >
Vous devez vous inscrire pour voir les liens !

of course you may cant see the link because sarah's timeline friends posts shares only with her friends , you need to be a friend of her to see that post or you can use your own authority .
this is a picture shows that post :
Vous devez vous inscrire pour voir les liens !

-----End Original Message to Facebook-----
Emrakul en déduit que c'est un "bug", le signalement est donc classé.

Khalil répond donc qu'il n'a pas d'autres choix que de publier sur le mur de Mark.



Voici chose faite :





C'est seulement a ce moment qu'il fût contacté par un autre agent de sécurité.


La conversation ici :
Vous devez vous inscrire pour voir les liens !


Khalil c'est ensuite fait désactivé son compte par "précaution".

Dear Khalil,

Facebook disabled your account as a precaution. When we discovered your activity we did not fully know what was happening. Unfortunately your report to our Whitehat system did not have enough technical information for us to take action on it. We cannot respond to reports which do not contain enough detail to allow us to reproduce an issue. When you submit reports in the future, we ask you to please include enough detail to repeat your actions.

We are unfortunately not able to pay you for this vulnerability because your actions violated our Terms of Service. We do hope, however, that you continue to work with us to find vulnerabilities in the site.

We have now re-enabled your Facebook account.

Joshua
Security Engineer
Facebook
-----Original Message to Facebook-----
From: [email protected]
To:
Subject: bypass facebook posts to timeline privacy

Name: Khalil Khalil
E-Mail: [email protected]
Type: privacy
Scope: www
Description: ok , this is the third time i report this bug ,

i know that you guys now know that it’s a bug for sure after
facebook.com/ola deactivate my account which is facebook.com/khalil.iz.sh

i want my account back soon as possible , as i report the bugs for you and i didnt use another fake accounts or test accounts to break privacy .

although my account contains important messages that some of my friends need them back .

Vous devez vous inscrire pour voir les liens !


repro:

this the last post i made before "
Vous devez vous inscrire pour voir les liens !
" deactivate my account ,
i had no choice after you guys replay twice back again to me that this is not a bug .

Vous devez vous inscrire pour voir les liens !


-----End Original Message to Facebook---
Il a donc réalisé une vidéo pour prouver l'existence réelle de la faille. ;)


Le fonctionnement de la faille était simple, il suffisait de récupérer l'ID de la personne en utilisant le graph Facebook et d'ensuite le modifier au bon endroit en inspectant simplement l'élément de façon à pouvoir publier sur le mur de cette personne.

Exemple :


Au final il n'a pas reçu le moindre centime pour cette faille, à cause de l'erreur de la personne s'étant occupé du signalement de Khalil.
C'est tout pour cette petite histoire. :D

Source : Internet, condensé par moi-même :trollface:
 
D

deleted146563

Invité
#8
Khalil - خليل a découvert cette faille et l'a soumise à Facebook via ce lien :
Vous devez vous inscrire pour voir les liens !


Emrakul s'occupant de la sécurité sur Facebook lui répond qu'il ne voit rien en cliquant sur le lien si ce n'est une erreur.

Le lien dans l'email est l'article qu'il a partagé sur le mur de Sarah Goodin, personne qui a étudiée au même endroit que Mark Zuckerberg et si l'agent de sécurité ne voyait qu'une erreur en cliquant sur le lien c'est car il n'avait pas Sarah Goodin en amis et que celle-ci avait tournée ses paramètres de confidentialité sur "Amis seulement"...

Khalil n'avait pas Sarah Goodin non plus en amis, mais il voyait cette publication car grâce à la faille qu'il a découverte, il peut publier sur le mur de n'importe qui, donc sur le mur de personnes qu'il n'a pas en amis. Il voyait les publications qu'il publiant, mais pas celles ne provenant pas de lui.



L'erreur de cet agent résulte donc de la suite des événements, Khalil à même prévenu qu'il était apte à publier sur la profil de Mark pour signaler cette faille mais qu'il n'a pas envie de la faire afin de respecter la politique de confidentialité.



Emrakul en déduit que c'est un "bug", le signalement est donc classé.

Khalil répond donc qu'il n'a pas d'autres choix que de publier sur le mur de Mark.



Voici chose faite :





C'est seulement a ce moment qu'il fût contacté par un autre agent de sécurité.


La conversation ici :
Vous devez vous inscrire pour voir les liens !


Khalil c'est ensuite fait désactivé son compte par "précaution".

Il a donc réalisé une vidéo pour prouver l'existence réelle de la faille. ;)


Le fonctionnement de la faille était simple, il suffisait de récupérer l'ID de la personne en utilisant le graph Facebook et d'ensuite le modifier au bon endroit en inspectant simplement l'élément de façon à pouvoir publier sur le mur de cette personne.

Exemple :


Au final il n'a pas reçu le moindre centime pour cette faille, à cause de l'erreur de la personne s'étant occupé du signalement de Khalil.
C'est tout pour cette petite histoire. :D

Source : Internet, condensé par moi-même :trollface:
merci pour plus d'info :D
 
Statut
N'est pas ouverte pour d'autres réponses.


Discussions similaires