Hacker mohl zničit Facebook, ale neudělal to. Místo odměny šel do vězení

Využil zranitelnosti ve facebookové soutěži, hackl účet zaměstnance Facebooku a povedlo se mu stáhnout si zdrojový kód celého systému. Podle vlastních slov to udělal proto, aby pomohl Facebooku lépe zabezpečit jejich servery.

Šestadvacetiletý britský student informatiky Glen Mangham od počátku tvrdí, že chtěl bezpečnostní problémy podrobně prozkoumat a následně sepsat, aby Facebook mohl chyby opravit. V minulosti takto už několika firmám pomohl a byl za tyto služby finančně odměněn. Přitom také Facebook nabízí hackerům možnost nahlásit chyby a získat uznání a hotovost.

Facebook a FBI jej ale vypátrali tři týdny po jeho útoku (květen 2011) a velmi jasně mu dali najevo, že ničemu takovému nevěří.

Místo odměny byl Mangham obviněn z toho, že způsobil Facebooku obrovské finanční škody (200 tisíc dolarů, tedy 3,74 milionu korun), a mladík byl po dlouhém vyšetřování v únoru odsouzen k osmi měsícům vězení. Odvolací soud dal ale Manghamovi za pravdu v tom, že rozsudek byl příliš přísný (více v YorkPress), a po dvou měsících jej propustil (více na TechCrunch).

"Chtěl jsem provést další analýzy zdrojového kódu"

Rozzlobenou a tvrdou reakci Facebooku lze pochopit, když si uvědomíme, jak významnou bezpečnostní díru Mangham odhalil. Pomocí chyby v programovací soutěži pro potenciální zájemce o zaměstnání Facebook's Programming Challenge se naboural do účtu zaměstnance Facebooku, Stefana Parkera. Pomocí jeho oprávnění se pak naboural do přísně zabezpečených serverů, odkud se mu podařilo stáhnout celý zdrojový kód Facebooku.

Už tehdy jistě mohl jít za Facebookem a chybu nahlásit. Facebook má dnes propracovanou nabídku pro etické hackery, umožňuje jim nahlášení chyb, získání finanční odměny za odhalené chyby v zabezpečení a povzbuzuje je, aby "chybu nahlásili co nejdříve". Mangham však údajně vyčkával, protože kód dále analyzoval a hledal další chyby: "Kdybych ihned nahlásil chybu, opravili by ji a já bych nemohl najít další chyby uvnitř. Takové zabezpečení by nikomu moc nepomohlo."

Obzvláště dotčen se Mangham cítí drsným přístupem Joe Sullivana, šéfa bezpečnosti Facebooku: "Myslel jsem, že když dám policii svůj pas, je to proto, abych nemohl vycestovat ze země. Místo toho jsem zjistil, že moji fotku dali k dispozici civilistovi z cizí země (Sullivanovi), který si ji ostentativně veřejně vyvěsí na zeď mezi podvodníky a pedofily."

Mark Zuckerberg

Mrzí ho také, že mu dělá problémy právě Facebook. Tedy společnost, která se chlubí dodržováním "kodexu hackera" a jejíž zakladatel, Mark Zuckerberg, si sám užil s autoritami svoje, když při naplňování projektu FaceMash hacknul několik univerzitních databází, aby z nich získal fotky.

Facebook mne zklamal

Glenn Mangham své dojmy shrnul ve 20minutovém videu.

Za normálních okolností by pochopitelně neexistoval důvod věřit nachytanému kyberútočníkovi, že jednal jako správný "white-hat hacker" (doslova hacker s bílým kloboukem, termín se používá pro popis těch, kteří využívají technik často na hraně zákona výhradně pro dobré a etické účely). Jenže Mangham v historii několika firmám s bezpečnostním auditem pomohl, byl za to údajně i odměněn. Další indicií může být, že při útoku nepoužíval maskování IP adresy (ačkoli jindy prokázal, že to umí) a konečně i to, že se nijak netají svým koníčkem hledat bezpečnostní slabiny a hlásit je.

I proto se domníváme, že popis událostí z jeho pohledu je relevantní, nebo přinejmenším zajímavý. Z plného znění jsme pro vás přeložili podstatné úryvky.

Jak jsem hacknul Facebook

Student informatiky a hacker Glenn Mangham popisuje svůj pohled na hacknutí Facebooku a následné vyšetřování.

Nedávno mě propustili z vězení poté, co jsem se úspěšně odvolal proti příliš přísnému trestu za to, že jsem hacknul Facebook.

Poprvé po skoro roce mám konečně příležitost vlastními slovy popsat, co se skutečně stalo. Přijímám plnou odpovědnost za to, co jsem udělal. Byl to pouze a jen můj nápad. Je pravdou, že jsem nepromyslel všechny možné důsledky svého jednání. Technicky vzato jsem porušil zákon, neboť mé akce nebyly autorizovány, předem ani následně.

Vycházel jsem z toho, že někdy je lepší žádat o odpuštění následně než získávat povolení s předstihem. Existují způsoby, kterými může společnost udělit povolení k podobným akcím retroaktivně, což jsem v minulosti také s některými firmami praktikoval.

Každopádně jsem podstoupil riziko, a později se do situace tak trochu zamotal. Chci se omluvit za to, že jsem nechal situaci vyeskalovat do plného vyšetřování. Také se omlouvám za problémy, které jsem mohl způsobit jednotlivcům. Přestože uznávám, že moje akce Facebook stály nějaké peníze, rezolutně se ohrazuji proti vyčíslené částce, která je nesmyslně vysoká.

Doufám, že tímto videem nikoho neurazím, zvláště proto, že vím, že mluvím pravdu. Chápu ale každého, kdo je k mému vyjádření skeptický, také bych byl.

Řeknu vám ale, co mě uráží. Společnost, která se pyšní podporováním "etických hackerů", ale přitom podporuje útočné praktiky firemních právníků proti někomu, kdo jednal hodně podobně, jako zakladatelé právě této společnosti. Není překvapivé, že miliardový byznys láká tento typ nemilosrdných, krvelačných právníků, ale bylo by nemoudré se domnívat, že takoví lidé podporují filosofii společnosti. V jiné situaci by se právě tak zakousli do lýtek těch, kterým nyní říkají pane.

Mojí zásadou je nepoškodit nikoho nevinného, alespoň ne úmyslně. Když uvážíte, že v jednu chvíli jsem mohl naprosto zničit Facebook a neudělal jsem to, myslím, že by to mělo sloužit jako ukázka toho, že nejsem ten zlý.

Věřím, že jsem prokázal (bezpečnostním auditem) již mnohokrát svůj dobrý úmysl a mělo by se k tomu přihlédnout. Věřím, že si zasloužím nálepku "etický hacker", i když se sarkastickými uvozovkami.

zdroj: osobní blog Glenna Manghama, zvýraznění Technet.cz

Autor:
  • Nejčtenější

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

v diskusi je 125 příspěvků

26. března 2024

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo...

Z jaderné triády zbyly Britům už jen ponorky. A ty musejí posílit

v diskusi je 76 příspěvků

27. března 2024

Jadernou triádu tvoří strategické bombardéry s jadernými zbraněmi, mezikontinentální balistické...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

v diskusi je 36 příspěvků

28. března 2024

Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

Rusko zastavilo odlet na ISS s první Běloruskou, letět měla i Američanka

v diskusi je 50 příspěvků

21. března 2024  10:23,  aktualizováno  14:26

Ve čtvrtek 21. března se necelých deset minut před půl třetí odpoledne měla vydat na Mezinárodní...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Načapali jsme otesánka, který se velkého sousta nezalekne. Boeing 747-400F

v diskusi je 8 příspěvků

21. března 2024

Poté, co na Letiště Václava Havla Praha přestaly v barvách Qatar Airways létat nákladní Boeingy...

Dočasná raketa se po téměř 70 letech loučí. Bude startovat naposledy

v diskusi jsou 4 příspěvky

28. března 2024  15:36,  aktualizováno  19:54

Tento čtvrtek stojí na startovací rampě mysu Canaveral poslední potomek raket Thor, nosič Delta IV...

Američané odepsali modul, který je vrátil po půl století na Měsíc

v diskusi je 20 příspěvků

28. března 2024,  aktualizováno  11:41

Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

v diskusi je 36 příspěvků

28. března 2024

Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

Úspěšný let prototypu XB-1 vrací do hry cestování nadzvukovou rychlostí

v diskusi je 34 příspěvků

27. března 2024  17:17

Po více než dvaceti letech, od ukončení provozu letounu Concorde, se možná opět dočkáme nadzvukové...

Rána pro britskou monarchii. Princezna Kate má rakovinu, chodí na chemoterapii

Britská princezna z Walesu Kate (42) se léčí s rakovinou. Oznámila to sama ve videu na sociálních sítích poté, co se...

Smoljak nechtěl Sobotu v Jáchymovi. Zničil jsi nám film, řekl mu

Příběh naivního vesnického mladíka Františka, který získá v Praze díky kondiciogramu nejen pracovní místo, ale i...

Rejžo, jdu do naha! Balzerová vzpomínala na nahou scénu v Zlatých úhořích

Eliška Balzerová (74) v 7 pádech Honzy Dědka přiznala, že dodnes neví, ve který den se narodila. Kromě toho, že...

Pliveme vám do piva. Centrum Málagy zaplavily nenávistné vzkazy turistům

Mezi turisticky oblíbené destinace se dlouhá léta řadí i španělská Málaga. Přístavní město na jihu země láká na...

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo divadelních...