保安團隊愛理不理!保安漏洞發現者直接貼文到 CEO Facebook 上

Published by
海藍牛

假如有用家發現 Facebook 漏同,有機會得到至少 500 美元報酬,令 Facebook 可以提升安全性。日前有用家就發現可以在互不相識的人塗鴉牆上貼文,但向 Facebook 報告多次沒有理會,最後發現者直接貼到其 CEO Mark Zuckerberg 的塗鴉牆上。

巴勒斯坦 IT 專家 Khalil Shreateh 早前發現了 Facebook 漏洞,並向 Facebook 保安團隊報告。Shreateh 嘗試貼文到 CEO Mark Zuckerberg 好友兼使用 Facebook 服務的女用家 Sarah Goodin 上,然後向 Facebook 報告問題,但因 Sarah 的塗鴉牆只有好友才能見到,團隊看不見就認為沒有問題,得到的回覆是 “I am sorry this is not a bug” 了事,並沒有再追問有關詳情。

隨後 Shreateh 直接向 Mark Zuckerberg 的塗鴉牆上貼上漏洞問題,並擷取了截圖讓團隊查看,數分鐘後 Facebook 保安工程師 Ola Okelola 直接聯絡 Shreateh 詢問有關詳情,之後還將其 Facebook 帳戶停止,相信是為了漏洞問題被公開?雖然 Shreateh 的帳戶目前已經重新啟動,但回覆的是 “did not have enough technical information”,一句技術資料不夠作為理由,最後另一位工程師 Joshua 向 Shreateh 表示,”not able to pay you for this vulnerability because your actons violated our Terms of Services”,即就算發現漏洞也因為違反 Facebook 的服務條款而得不到獎金。

目前仍未知道漏洞的詳細問題及使用方法,亦不知道是真是假。但此舉會令發現漏洞的用家可能不會再向 Facebook 報告問題。這種愛理不理的做法確實會對 Facebook 有所影響,Facebook 也沒有再向外公布有關詳情,確實有點可惜。

來源:theverge

 

 

Published by
海藍牛