Hacker-Community sammelt über 11.000 Dollar für Facebook-Bug-Entdecker

Der palästinensische Sicherheitsforscher Khalil Shreateh, der Facebook durch einen Eintrag in Mark Zuckerbergs Chronik auf eine Schwachstelle hingewiesen hatte, wird für seine Bemühungen nun doch noch entlohnt werden. Weil das Social Network wegen Verstößen gegen seine Nutzungsbedingungen Shreateh keine Prämie für den Fund zahlen wollte, startete Forscherkollege Marc Maiffret für ihn kurzerhand eine Spendensammlung auf gofundme.com. Die anvisierten 10.000 Dollar kamen innerhalb eines Tages zusammen.

Inzwischen liegt die Spendensumme sogar bei über 11.000 Dollar. Knapp 180 Unterstützer haben sich an der Kampagne beteiligt. Jetzt sucht Maiffret nach eigener Aussage zusammen mit der Fundraising-Plattform nach einem Weg, Shreateh das Geld zukommen zu lassen, mit dem er bereits in Kontakt stehe.

„Vielen Dank an alle, die dies für Khalil ermöglicht haben“, schreibt Maiffret, selbst Chief Technology Officer beim Security-Compliance-Anbieter Beyond Trust. „Ich hoffe, dies hat ein Bewusstsein für die Bedeutung unabhängiger Sicherheitsforscher geschaffen. Ebenso hoffe ich, dass es andere Forscher daran erinnert, auch wenn die Zusammenarbeit mit Technologiefirmen manchmal frustrierend sein kann, nie das große Ziel aus den Augen zu verlieren: der Internet-Community im Ganzen zu helfen, so wie diese Community geholfen hat, innerhalb eines Tages über 10.000 Dollar für Khalil zu spenden.“

Shreateh hatte die von ihm entdeckte und mittlerweile geschlossene Sicherheitslücke ursprünglich wie vorgeschrieben im Rahmen von Facebooks „White Hat“-Pramienprogramm gemeldet, das eine Mindestprämie von 500 Dollar für nachgewiesene Bugs vorsieht. Die Anfälligkeit erlaube es jedermann, beliebige Inhalte auf den Facebook-Seiten anderer Mitglieder zu veröffentlichen – unabhängig davon, ob man ein Freund dieser Person sei, schrieb er in einem Blogeintrag.

Der Sicherheitsexperte demonstrierte die Schwachstelle auf der Facebook-Seite von Zuckerbergs Freundin Sarah Goodwin. Als das Unternehmen daraufhin erklärte, dass es sich nicht um einen Bug handle, beschloss Shreateh, sich direkt an den CEO zu wenden. „Vor einigen Tagen habe ich einen ernsten Facebook-Exploit entdeckt, der es Nutzern erlaubt, etwas in die Chronik anderer Facebook-Mitglieder zu schreiben, obwohl sie nicht auf deren Freundesliste stehen“, schrieb er in Zuckerbergs Chronik. „Danke, dass Sie sich die Zeit nehmen, dies zu lesen, und zu veranlassen, dass mich ein Mitarbeiter ihres Unternehmens kontaktiert.“ Daraufhin meldete sich tatsächlich innerhalb von Minuten ein Facebook-Sicherheitstechniker bei ihm, um sich nach der Schwachstelle zu erkundigen. Gleichzeitig wurde sein Facebook-Konto vorübergehend gesperrt.

Dass Shreateh keine Prämie zustehe, begründet Facebook damit, dass Sicherheitsforscher Bugs nicht an Konten von echten Nutzern testen dürfen. Zu diesem Zweck könnten sie spezielle Testkonten erstellen.

[mit Material von Jennifer Van Grove, News.com]

Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.