高开180%市值超130亿,“宁王”收获一个IPO
高开180%市值超130亿,“宁王”收获一个IPO
携程Q3大“赚”,但还能更“赚”
携程Q3大“赚”,但还能更“赚”
较劲的Q3:乐观者李斌,“史上最强”何小鹏,李想开上法拉利
较劲的Q3:乐观者李斌,“史上最强”何小鹏,李想开上法拉利
捷豹重生改命,LOGO大变样,马斯克:你们还是卖车的吗
捷豹重生改命,LOGO大变样,马斯克:你们还是卖车的吗
立即打开APP
猎云网
私信
34

Facebook 不接受黑客提供的漏洞 于是黑客黑进扎克伯格的时间线证明了漏洞的存在

2013-08-21
如果你是位有能力从Facebook中查找漏洞的黑客,便可以选择将其提交到白帽子上报系统并获得一次奖励。但Facebook无视了你,那怎么办呢?巴勒斯坦黑客的做法是:利用该漏洞黑进马克的时间线证明自己,不过这样他就得不到奖励了…

猎云网8月21日报道(编译:介错人)

如果你是位有能力从Facebook中查找漏洞的黑客,便可以选择将其提交到白帽子上报系统并获得一次奖励。

但如果 Facebook无视你提交的漏洞报告,那你会怎样何处理呢?

一位巴勒斯坦黑客则选择利用他所试图上报的漏洞,将报告直接贴进Facebook创始人马克 扎克伯格个人帐号的时间线上。

这位名叫Khalil Shreate巴勒斯坦开发者兼黑客发现一种绕过Fackbook隐私设置的方式,可以在任何用户的时间线上发布内容——即使这些用户并非你的个人好友。

最初,他尝试通过邮件将该漏洞上报到漏洞奖励程序中。但该社交网络却未能识别他所上报的漏洞(根据他博客的记载)。

在上报该漏洞前,Shreateh经测试成功在Sarah Goodin(扎克伯格的前大学同班同学)的留言墙上张贴了内容。他甚至将该链接也附至报告邮件中,但收到邮件的Fackbook系统安全员工(名为Emrakul)却无法在链接中查看该内容——因为他和Goodin在Facebook中不是好友关系。

Shreateh于是又发送了一条官方报告并再次解释了这条漏洞。这一次Emrakul根据其申诉回答到:很抱歉,但这并不是一条漏洞。于是Shreateh回答:OK,看来我别无选择唯有向马克亲自提交了。

然后他居然真就这么做了!

shreateh_zuckerberg_post

该杰作吸引了Ola Okelola,另一位Facebook安全工程师的的注意。Okelola通过在发布条目下的评论,向其询问了该漏洞的其他细节。简短的讨论过后,Shreateh的Facebook账户作为警告被停用。而另一位名为Joshua的Facebook安全工程师则通过邮件向Shreateh进行说明。

“很抱歉,你向 Whiteha t系统提交的报告并没有提供足够的技术细节,”Joshua写道。“我们不能向未包含充分细节的报告采取对策”。他补充:“因为你的行为侵犯了系统正常运转,所以我们不幸地通知您不能对你上报的这条漏洞进行奖励支付。”

Shreateh 在扎克伯格时间线上张贴内容的行为同样违反了Facebook的上报责任条例:禁止用户利用漏洞在未经其他用户许可的情况下,在其他用户身上展示漏洞。

“其中更重要的一点是其为展示漏洞,在未经当事人许可的情况下使用了认证用户的帐号”,Fackbook的 Matt Jones 在 Hacker News 网站上表示。Facebook向 Mashable 表示这位 Jones 确实是Facebook的员工。

“对于white hat,对认证用户使用漏洞共计是不可接受的行为。我们允许研究者去创建测试账户去完成负责任的研究行为。而在这个事件中,研究者利用他发现的漏洞,未获得多位用户首肯却在他们时间线中发布内容。

Facebook拒绝对此进一步的评论。此外根据Jones的评论,该漏洞已于上周四获得修复。

Shreateh没有因他的发现得到奖赏,因为他违反了披露条例。

Via Mashable

猎云网APP阅读全文

体验更加

猎云网

微信扫码关注猎云网

  1. 猎云网原创文章未经授权转载必究,如需转载请联系官方微信号进行授权;
  2. 转载时须在文章头部明确注明出处、保留官方微信、作者和原文链接,如:转自猎云网(微信号: lieyunjingxuan )字样;
  3. 猎云网报道中所涉及的融资金额均由创业公司提供,仅供参考,猎云网不对真实性背书。
  4. 联系猎云,请加微信号:jinjilei
猜你喜欢
长按图片可以分享给好友
×