Hacker-Community sammelt über 11.000 Dollar für Facebook-Bug-Entdecker

Der palästinensische Sicherheitsforscher Khalil Shreateh, der Facebook durch einen Eintrag in Mark Zuckerbergs Chronik auf eine Schwachstelle hingewiesen hatte, wird für seine Bemühungen nun doch noch entlohnt werden. Weil das Social Network wegen Verstößen gegen seine Nutzungsbedingungen Shreateh keine Prämie für den Fund zahlen wollte, startete Forscherkollege Marc Maiffret für ihn kurzerhand eine Spendensammlung auf gofundme.com. Die anvisierten 10.000 Dollar kamen innerhalb eines Tages zusammen.

Inzwischen liegt die Spendensumme sogar bei über 11.000 Dollar. Knapp 180 Unterstützer haben sich an der Kampagne beteiligt. Jetzt sucht Maiffret nach eigener Aussage zusammen mit der Fundraising-Plattform nach einem Weg, Shreateh das Geld zukommen zu lassen, mit dem er bereits in Kontakt stehe.

Rund 180 Unterstützer sammelten über 11.000 Dollar für Khalil Shreateh (Screenshot: ZDNet.de).

„Vielen Dank an alle, die dies für Khalil ermöglicht haben“, schreibt Maiffret, selbst Chief Technology Officer beim Security-Compliance-Anbieter Beyond Trust. „Ich hoffe, dies hat ein Bewusstsein für die Bedeutung unabhängiger Sicherheitsforscher geschaffen. Ebenso hoffe ich, dass es andere Forscher daran erinnert, auch wenn die Zusammenarbeit mit Technologiefirmen manchmal frustrierend sein kann, nie das große Ziel aus den Augen zu verlieren: der Internet-Community im Ganzen zu helfen, so wie diese Community geholfen hat, innerhalb eines Tages über 10.000 Dollar für Khalil zu spenden.“

Shreateh hatte die von ihm entdeckte und mittlerweile geschlossene Sicherheitslücke ursprünglich wie vorgeschrieben im Rahmen von Facebooks „White Hat“-Pramienprogramm gemeldet, das eine Mindestprämie von 500 Dollar für nachgewiesene Bugs vorsieht. Die Anfälligkeit erlaube es jedermann, beliebige Inhalte auf den Facebook-Seiten anderer Mitglieder zu veröffentlichen – unabhängig davon, ob man ein Freund dieser Person sei, schrieb er in einem Blogeintrag.

Der Sicherheitsexperte demonstrierte die Schwachstelle auf der Facebook-Seite von Zuckerbergs Freundin Sarah Goodwin. Als das Unternehmen daraufhin erklärte, dass es sich nicht um einen Bug handle, beschloss Shreateh, sich direkt an den CEO zu wenden. „Vor einigen Tagen habe ich einen ernsten Facebook-Exploit entdeckt, der es Nutzern erlaubt, etwas in die Chronik anderer Facebook-Mitglieder zu schreiben, obwohl sie nicht auf deren Freundesliste stehen“, schrieb er in Zuckerbergs Chronik. „Danke, dass Sie sich die Zeit nehmen, dies zu lesen, und zu veranlassen, dass mich ein Mitarbeiter ihres Unternehmens kontaktiert.“ Daraufhin meldete sich tatsächlich innerhalb von Minuten ein Facebook-Sicherheitstechniker bei ihm, um sich nach der Schwachstelle zu erkundigen. Gleichzeitig wurde sein Facebook-Konto vorübergehend gesperrt.

Dass Shreateh keine Prämie zustehe, begründet Facebook damit, dass Sicherheitsforscher Bugs nicht an Konten von echten Nutzern testen dürfen. Zu diesem Zweck könnten sie spezielle Testkonten erstellen.

[mit Material von Jennifer Van Grove, News.com]

Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

4 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

4 Tagen ago