Khalil Shreateh: Rakyat Palestin yang hack Mark Zuckerberg

Apa perasaan bila ada orang hack Facebook anda?

Tak seronok kan?

Khalil, seorang rakyat Palestin, boleh post ke wall anda tanpa perlu menjadi rakan anda. Kalau ada orang nakal tangan pergi post gambar tidak senonoh, anda mesti rasa jijik je kan?

Itulah kelemahan yang ada di dalam Facebook yang telah dijumpai oleh Khalil.

Khalil kemudiannya memberitahu Facebook mengenai perkara ini melalui program Facebook Bug Bounty. (Anda boleh membacanya di sini). Malangnya laporannya kepada pasukan di Facebook tidak dilayan. Tidak menyerah, dia menghantar laporan itu sekali lagi. Namun hasilnya masih lagi mendukacitakan.

Dia merekodkan video sebagai bukti bahawa kelemahan itu memang wujud.

http://www.youtube.com/watch?v=NYRjZ1nDfAI

Dan kemudiannya dia hack akaun pengasas Facebook iaitu encik Mark Zuckerberg kerana tak tahu nak buat apa untuk beritahu Facebook untuk tutup kelemahan itu. Dia yang buat Facebook, dia yang kena hack. Dia pun mesti terkejut kan?

Dia pun kena hack di FB.
Dia pun kena hack di FB.

Akaunnya kemudiannya ditutup kerana dikatakan mendatangkan bahaya. Email yang diterima Khalil:

Dear Khalil,

Facebook disabled your account as a precaution. When we discovered your activity we did not fully know what was happening. Unfortunately your report to our Whitehat system did not have enough technical information for us to take action on it. We cannot respond to reports which do not contain enough detail to allow us to reproduce an issue. When you submit reports in the future, we ask you to please include enough detail to repeat your actions.

We are unfortunately not able to pay you for this vulnerability because your actions violated our Terms of Service. We do hope, however, that you continue to work with us to find vulnerabilities in the site.

We have now re-enabled your Facebook account.

Joshua
Security Engineer
Facebook

Di bawah ialah mesej asal Khalil kpada Facebook.

—–Original Message to Facebook—–
From: khalil______@hotmail.com
To:
Subject: bypass facebook posts to timeline privacy

Name: Khalil Khalil
E-Mail: khalil______@hotmail.com
Type: privacy
Scope: www

Description: ok , this is the third time i report this bug ,

i know that you guys now know that it’s a bug for sure after
facebook.com/ola deactivate my account which is facebook.com/khalil.iz.sh

i want my account back soon as possible , as i report the bugs for you and i didnt use another fake accounts or test accounts to break privacy .

although my account contains important messages that some of my friends need them back .

https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-ash3/1174822_10200988067716575_1496625129_n.jpg

repro:

this the last post i made before ” www.facebook.com/ola ” deactivate my account ,
i had no choice after you guys replay twice back again to me that this is not a bug .

https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-prn1/543398_10151865722018885_1202186069_n.jpg

—–End Original Message to Facebook—–

Ada yang menyatakan bahawa kekangan bahasa berlaku dan menyebabkan salah faham berlaku.

Jones, yang bekerja untuk pasukan keselamatan untuk Facebok mempertahankan pasukannya dengan menyatakan bahawa mereka menerima pelbagai laporan mengenai bug, eksploit dan di dalam Facebook dan laporan-laporan terbaik diterima bukanlah dalam bahasa Inggeris yang baik. (Anda boleh lihat di dalam link yang diberi sebelum ini).

Cerita mengenai Khalil ni mendapat perhatian security pro bernama Marc Maiffret. Walaupun goalnya adalah untuk mendapat $10 ribu, sekarang jumlahnya sudah mencecah $13 ribu. Anda boleh tengok di sini.

Khalil sekarang ini tidak bekerja dan keluarganya risau dia akan ditangkap dan dimasukkan ke dalam jail kerana cubaannya untuk memberitahu secara baik tidak berjaya dan melakukannya secara kurang baik (dengan memberitahu Mark terus).

Kisahnya tela diprofilkan di CNN, News Australia dan Metro.us.

Diterbitkan oleh

Abdul Rahman

Seorang penulis, pembaca, programmer dan macam-macam lagi.

Tinggalkan Balasan

Alamat e-mel anda tidak akan disiarkan. Medan diperlukan ditanda dengan *