Scopre un bug critico di Twitter, ma riceve un ban, non una ricompensa

Scopre un bug critico di Twitter, ma riceve un ban, non una ricompensa

Un utente di Twitter ha scoperto un bug che avrebbe potuto consentire a malintenzionati di prendere il controllo dei profili degli utenti: sarebbe bastato un click su un link fraudolento per renderlo possibile.

di pubblicata il , alle 11:01 nel canale Web
Twitter
 
I migliori sconti su Amazon oggi

FRITZ!Repeater 600 Edition International, Ripetitore - Wi-Fi extender fino a 600 Mbit/s (2,4 GHz), Mesh, Access Point, Interfaccia in italiano

32.99 Compra ora

TCL 55V6C TV 55'' 4K UHD Smart LED TV, 4K HDR, Google TV con design senza bordi (Dolby Audio, Motion Clarity, compatibile con Google Assistant e Alexa)

299.00 Compra ora
-30%

XIAOMI TV F 65, 65 pollici (165 cm),4K UHD,Smart TV, Fire TV,Triple Tuner DVB-C/S/S2/T/T2, HDR10,MEMC, Modalità Game Boost 120Hz, Controllo Vocale Alexa, 2GB+32GB, Compatibile con AirPlay

569.00 399.00 Compra ora
24 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
h.rorschach15 Dicembre 2023, 09:42 #21
Originariamente inviato da: bio82
parlare di illecito è molto vago...essendo giusto un illecito morale, secondo me quando dall'altra parte non rispettano un contratto, tu non sei tenuto a rispettarlo... visto che il moralmente vale entrambi i lati...

bio


Non c'è alcun contratto non rispettato da parte della compagnia. La compagnia si impegna a retribuire il ricercatore SE la vulnerabilità è accettata e considerata non duplicata. Nessun programma di bug bounty paga a prescindere il lavoro del ricercatore: solo se ha un valore ed è unico.
cronos199015 Dicembre 2023, 09:54 #22
Originariamente inviato da: h.rorschach
1. Il lavoro si paga quando il lavoro è richiesto. I tuoi report non sono lavoro contrattualizzato né richiesto (benché benvenuti sotto le regole che sottoscrivi). Non c'è alcun obbligo da parte della compagnia di accettare o pagare alcunché perché la compagnia non ti ha chiesto di fare nulla: lo fai di tua scelta

2. Il programma ha giustamente bannato il cretino perché ha divulgato dettagli di una cosa che non era più sua (visto che quando invii il report hai trasferito la proprietà intellettuale e quelle parole non appartengono più a te). Che la vulnerabilità sia valida o meno non influisce su ciò: il trasferimento avviene sui contenuti

3. Il dark web non è interessato alle CSRF chain

4. Nessuno ha parlato di crimini, ma ha commesso un illecito. Ha trasferito la proprietà intellettuale del report ad un'entità terza che vieta di discuterne in pubblico, per poi discuterne in pubblico. Ci sono basi giuridiche per una causa, ma nessuna compagnia vuole farsi cattiva pubblicità

5. Ha fatto benissimo, infatti ora è in lista nera
Indubbiamente X (Twitter) ha tutte le ragioni del mondo.

Però a mio avviso si guarda troppo agli aspetti "legali/normativi'', tralasciando il "concreto" e il motivo per cui esiste tale programma.

E cioè individuare vulnerabilità e risolverle. In questa vicenda, per quanto il tizio in questione abbia a termini di contratto sbagliato, è in realtà l'unico che ha cercato di risolvere tale problema.
Giustamente tu dici che X non ha alcun obbligo a seguito della segnalazione, ma nel momento in cui non fai quello per cui tale servizio esiste, diventa solo un modo per pararsi il culo. @rabbit_2333 non può fare nulla contro il ban, ha violato i termini dell'accordo e giustamente viene fatto fuori, ma tra tutti coloro correlati a questa vicenda mi pare l'unico che abbia agito in ottemperanza al significato stesso dell'esistenza di tale apparato.

Non è neanche un discorso di difficoltà di risoluzione, dato che ci han messo poche ore a risolverlo.
andbad15 Dicembre 2023, 13:52 #23
Originariamente inviato da: cronos1990
Indubbiamente X (Twitter) ha tutte le ragioni del mondo.

Però a mio avviso si guarda troppo agli aspetti "legali/normativi'', tralasciando il "concreto" e il motivo per cui esiste tale programma.

E cioè individuare vulnerabilità e risolverle. In questa vicenda, per quanto il tizio in questione abbia a termini di contratto sbagliato, è in realtà l'unico che ha cercato di risolvere tale problema.
Giustamente tu dici che X non ha alcun obbligo a seguito della segnalazione, ma nel momento in cui non fai quello per cui tale servizio esiste, diventa solo un modo per pararsi il culo. @rabbit_2333 non può fare nulla contro il ban, ha violato i termini dell'accordo e giustamente viene fatto fuori, ma tra tutti coloro correlati a questa vicenda mi pare l'unico che abbia agito in ottemperanza al significato stesso dell'esistenza di tale apparato.

Non è neanche un discorso di difficoltà di risoluzione, dato che ci han messo poche ore a risolverlo.


Concordo. Se il bug era lì da un anno, chissà le se è mai stato usato a fini illeciti. Il non volerlo risolvere da parte di Twitter (perché MAGARI Elone ha licenziato tutti quelli bravi...) è la parte peggiore di tutta la vicenda.

Considerato che:
1- non è stato pagato
2- non hanno risolto il bug

Ha fatto bene a segnalarlo pubblicamente, così da costringere Twitter a risolverlo.
Alla fine l'hacker si è sacrificato per noi (giusto o sbagliato che sia, legalmente parlando).

By(t)e
andbad18 Dicembre 2023, 09:01 #24
Originariamente inviato da: Uccellopredicatore
Non è che di proposito non vogliono rimediare per qualche "oscuro" fine?


Ma no, questo non lo credo. Sarebbe alquanto stupido lasciare un bug che è già stato segnalato come backdoor per motivi poco leciti, il rischio sputtanamento è troppo elevato (tant'è che si è verificato).

Poi oh, alla stupidità non c'è limite, eh...

By(t)e
« Pagina Precedente     Pagina Successiva »

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^