Bulletin.com, Facebook’un yeni yayın hizmetidir.
GraphQL’deki VoiceCreator nesnesinin belirgin izinleri yok; bu, bir podcast/yayının abonelerini e-posta adresine göre listeleyebileceğim anlamına geliyor.
query a {bulletin_browse_publications(){__typename,publications{creator{id,name,email_settings{nodes{__typename,...on VoicesEmailSettings{confirmed_email{email_address}}}}}}}}
Zaman çizelgesi
2 Temmuz 2021 – Rapor gönderildi
7 Temmuz 2021 – Facebook tarafından düzeltildi
Facebook beni yanlışlıkla “sömürdüğüm” için cezalandırdı; bu sadece benim ne zaman düzeltildiğini görmek için uç noktayı yeniden test etmem ve ücretli ve gizli yayınları kontrol etmemdi. Hataları yeniden test etmek, tüm raporlarım için yaptığım bir şeydir. Mesajlarını aşağıya koydum. Söz konusu uyarı başka bir rapor haftasında verilmişti sonrasında “istismar”. Facebook’taki bir güvenlik yöneticisiyle Whatsapp görüşmesinde konuştum ve ikimiz de uyarı tarihi konusunda hatalı oldukları konusunda hemfikirdik (ondan bir örnek istedim), ancak yine de bir şekilde bir noktayı kanıtlamak için ceza vermeleri gerekiyordu ve sanırım Facebook yasal beni yapmak istiyor öğrenmek. Geçtiğimiz sekiz yıl boyunca Facebook’ta hiç kimse bana yaklaşmadı ve bunun bir sorun olduğunu söylemedi. Bir yıl önce, Facebook’un ödül konferansının açılış konuşmacısıydım ve slaytlarımda nasıl avlandığımı listelemiştim ama bir şekilde Facebook’ta kimse bunu tartışacak bağlantımı bulamıyor. Bu olaydan bu yana Facebook’a herhangi bir hata bildirmedim.
Facebook’un yanıtı
Bu sorunu bize bildirdiğiniz için teşekkür ederiz. Bülten blogu abonelerinin e-posta adreslerinin ifşa edilebileceğini açıklayan raporunuz için normalde 7.500 dolarlık bir ödül veririz. Bununla birlikte, beyaz şapkalı araştırmacılarımızdan hata ödülü hizmet şartlarımıza uymalarını ve bu sorunu diğer insanlara karşı istismar etmemelerini bekliyoruz. Bu şartları ihlal ettiğiniz için, yakın zamanda bu endişeleri size bildirmiş olmamıza rağmen, ceza olarak ödülü ayarlamak zorunda kaldık ve bu konuya bir kez daha dikkatinizi çekmek zorunda kaldık..1
Raporunuzda, sorunu ilk olarak ilk PoC’nizde gösterdiniz. O sırada, raporun ürün ekibine 2 Temmuz’da saat 14:00 GMT’de gönderildiğini size bildirmiştik. Böyle bir bildirimin ardından beyaz şapkalı araştırmacılarımızın, Facebook’tan yazılı izin almadıkları sürece (örneğin daha fazla etki göstermek amacıyla) bir güvenlik açığından daha fazla yararlanmalarını beklemiyoruz. Ancak bize iki ek yazışma daha gönderdiniz (raporunuzu araştırmaya başladıktan 12 saat sonra ve 10 saat sonra) ve bildirilen sorunu bizim onayımız olmadan ek varlıklara karşı daha ayrıntılı olarak test ettiniz.
Araştırmacıların bazı durumlarda hata ödülü avcılığı yaparken yanlışlıkla diğer kullanıcıların verileriyle etkileşime girebileceğini biliyoruz. Örneğin kazara başka bir kullanıcının verilerine erişildiğinde. Araştırmacıların iyi niyetle hareket etmelerini bekliyoruz; Bir araştırmacı başka bir kullanıcının verileriyle etkileşime girdiğinde, güvenlik açığını derhal bize bildirmeli ve bundan daha fazla yararlanmayı bırakmalıdır (teste devam etmek için Facebook’tan yazılı izin isteyip almadığı sürece).
Raporu zaten onayladığımız için, sahip olmadığınız veya test etme izniniz olmayan varlıklara karşı istismarda bulunmak, hata ödülü Hizmet Şartlarımıza aykırıdır. Bu nedenle bu tür davranışları tasvip edemeyiz.
Bu nedenle aşağıdakilere karar verdik:
1. Bir ceza vermeye ve ödül miktarını yarıya indirmeye karar verdik ve böylece size 3.750 $ ödül verdik. Lütfen bu kararımızı, araştırmacılarımızdan beklenenleri sizlere iyi niyetle açıklama çabamız olarak değerlendiriniz. Rapor Facebook tarafından kabul edildikten sonra, bir güvenlik açığından yararlanıldığını gösteren gelecekteki raporlarınızın 0 ABD doları ödemeyle sonuçlanacağını lütfen unutmayın.
2. Politika ihlalinizden ve ödülün yarıya indirilmesinden kaynaklanan bu cezanın tek seferlik olacağını ve iyi niyetli araştırmalar yaparken değerli güvenlik sorunlarını hata ödül programımıza aktarmaya devam edeceğinizi umuyoruz.
3. Github’a kaydettiğiniz veriler dahil, araştırmanız sırasında topladığınız diğer kullanıcılara ait tüm verileri silmenizi rica ediyoruz.
1 Facebook’taki güvenlik müdürü bana bu satırı görmezden gelmemi söyledi, ben de vurgulamak için üzerini çizdim.