Facebook 創辦人動態時報(Timeline)遭駭?只因駭客真的很想回報 bug
有在用 Facebook 的讀者應該都知道,不是每個人都會開放好友或陌生人在自己的動態時報上留言,身為公眾人物的使用者更是如此,Facebook 創辦人 Mark Zuckerberg 也不例外。但是他自己的 Facebook 動態時報卻在最近出現一則巴勒斯坦駭客 Khalil Shreateh 的留言,直指他的團隊不理自己的臭蟲回報,他別無選擇只好到 Mark Zuckerberg 的動態時報留言1。
圖片來源:Khalil -- خليل
Khalil Shreateh 表示,他已經向 Facebook 的安全團隊回報過,卻一直得到「it wasn't a bug at all(這完全不是 bug)」的回應。根據 TechCrunch 的報導2,Khalil Shreateh 是利用個他張貼在 Mark Zuckerberg 同事(同時也是他在 Facebook 上的好友)、Facebook 第一位女性員工 Sarah Goodin 動態時報上貼的一則貼文,再將連結發送至該貼文,便可顯示在「任何人」的動態時報上。但問題是,Facebook 的團隊「不是 Sarah Goodin 的好友」,所以他們點了連結後出現的情況跟 Khalil Shreateh 所描述的不符。(似乎 Facebook 的團隊並未強行突破 Sarah Goodin 的隱私權設定)
Khalil Shreateh 的 demo 影片:
於是 Facebook 的人就告訴 Khalil Shreateh 他點了連結,卻什麼也沒看見。Khalil Shreateh 就告訴他因為測試的人必須是 Sarah Goodin 的好友,「我們很抱歉,這不是什麼 bug」最後 Facebook 的人這樣告訴 Khalil Shreateh。
後來的故事我們都知道了,Khalil Shreateh 跑去 Facebook 創辦人的動態時報貼文。
Facebook 的員工發現事情「鬧大了」,立刻再與 Khalil Shreateh 聯繫。Khalil Shreateh 雖然紅了,卻拿不到 Facebook 懸賞給白帽駭客或資安研究人員的 500 美金(回報 bug 的人最低可以獲得 500 美金的獎賞)。不過沒差,因為這件事的關係,希望聘用 Khalil Shreateh 的邀請已經如雪片般飛至。
後來,一名 Facebook 員工 Matt Jones 在 Hacker News 上撰文說明3,指出他們其實在週四就已經解決了那個問題,而 Khalil Shreateh 的作法已經違反了 Facebook 的「使用者協議」,那不是白帽駭客應有的行徑。此外,該名員工說他們每天會收到上百個回報,但「有些人的英文不太好」對他們的溝通是一種挑戰。
- facebook vulnerability 2013↩
- Security Researcher Hacks Mark Zuckerberg’s Wall To Prove His Exploit Works↩
- OK -- so I work on a security team at Facebook and sometimes help with reviewing …↩
資料來源:inside.com.tw