Facebook创办人动态时报遭骇?只因骇客真的很想回报bu

有在用 Facebook 的读者应该都知道,不是每个人都会开放好友或陌生人在自己的动态时报上留言,身为公众人物的使用者更是如此,Facebook 创办人 Mark Zuckerberg 也不例外。但是他自己的 Facebook 动态时报却在最近出现一则巴勒斯坦骇客 Khalil Shreateh 的留言,直指他的团队不理自己的臭虫回报,他别无选择只好到 Mark Zuckerberg 的动态时报留言 1。

Facebook创办人动态时报遭骇?只因骇客真的很想回报bu

图片来源:Khalil -- خليل

Khalil Shreateh 表示,他已经向 Facebook 的安全团队回报过,却一直得到「it wasn't a bug at all」的回应。根据 TechCrunch 的报导 2,Khalil Shreateh 是利用个他张贴在 Mark Zuckerberg 同事、Facebook 第一位女性员工 Sarah Goodin 动态时报上贴的一则贴文,再将连结发送至该贴文,便可显示在「任何人」的动态时报上。但问题是,Facebook 的团队「不是 Sarah Goodin 的好友」,所以他们点了连结后出现的情况跟 Khalil Shreateh 所描述的不符。

Khalil Shreateh 的 demo 影片:

于是 Facebook 的人就告诉 Khalil Shreateh 他点了连结,却什幺也没看见。Khalil Shreateh 就告诉他因为测试的人必须是 Sarah Goodin 的好友,「我们很抱歉,这不是什幺 bug」最后 Facebook 的人这样告诉 Khalil Shreateh。

后来的故事我们都知道了,Khalil Shreateh 跑去 Facebook 创办人的动态时报贴文。

Facebook 的员工发现事情「闹大了」,立刻再与 Khalil Shreateh 联繫。Khalil Shreateh 虽然红了,却拿不到 Facebook 悬赏给白帽骇客或资安研究人员的 500 美金。不过没差,因为这件事的关係,希望聘用 Khalil Shreateh 的邀请已经如雪片般飞至。

Facebook创办人动态时报遭骇?只因骇客真的很想回报bu

后来,一名 Facebook 员工 Matt Jones 在 Hacker News 上撰文说明 3,指出他们其实在週四就已经解决了那个问题,而 Khalil Shreateh 的作法已经违反了 Facebook 的「使用者协议」,那不是白帽骇客应有的行径。此外,该名员工说他们每天会收到上百个回报,但「有些人的英文不太好」对他们的沟通是一种挑战。

  1. facebook vulnerability 2013↩
  2. Security Researcher Hacks Mark Zuckerberg’s Wall To Prove His Exploit Works↩
  3. OK -- so I work on a security team at Facebook and sometimes help with reviewing …↩
上一篇: 下一篇:
随机文章Random article
图文排行Image & Text rank