猎云网8月21日报道(编译:介错人)
如果你是位有能力从Facebook中查找漏洞的黑客,便可以选择将其提交到白帽子上报系统并获得一次奖励。
但如果 Facebook无视你提交的漏洞报告,那你会怎样何处理呢?
一位巴勒斯坦黑客则选择利用他所试图上报的漏洞,将报告直接贴进Facebook创始人马克 扎克伯格个人帐号的时间线上。
这位名叫Khalil Shreate巴勒斯坦开发者兼黑客发现一种绕过Fackbook隐私设置的方式,可以在任何用户的时间线上发布内容——即使这些用户并非你的个人好友。
最初,他尝试通过邮件将该漏洞上报到漏洞奖励程序中。但该社交网络却未能识别他所上报的漏洞(根据他博客的记载)。
在上报该漏洞前,Shreateh经测试成功在Sarah Goodin(扎克伯格的前大学同班同学)的留言墙上张贴了内容。他甚至将该链接也附至报告邮件中,但收到邮件的Fackbook系统安全员工(名为Emrakul)却无法在链接中查看该内容——因为他和Goodin在Facebook中不是好友关系。
Shreateh于是又发送了一条官方报告并再次解释了这条漏洞。这一次Emrakul根据其申诉回答到:很抱歉,但这并不是一条漏洞。于是Shreateh回答:OK,看来我别无选择唯有向马克亲自提交了。
然后他居然真就这么做了!
该杰作吸引了Ola Okelola,另一位Facebook安全工程师的的注意。Okelola通过在发布条目下的评论,向其询问了该漏洞的其他细节。简短的讨论过后,Shreateh的Facebook账户作为警告被停用。而另一位名为Joshua的Facebook安全工程师则通过邮件向Shreateh进行说明。
“很抱歉,你向 Whiteha t系统提交的报告并没有提供足够的技术细节,”Joshua写道。“我们不能向未包含充分细节的报告采取对策”。他补充:“因为你的行为侵犯了系统正常运转,所以我们不幸地通知您不能对你上报的这条漏洞进行奖励支付。”
Shreateh 在扎克伯格时间线上张贴内容的行为同样违反了Facebook的上报责任条例:禁止用户利用漏洞在未经其他用户许可的情况下,在其他用户身上展示漏洞。
“其中更重要的一点是其为展示漏洞,在未经当事人许可的情况下使用了认证用户的帐号”,Fackbook的 Matt Jones 在 Hacker News 网站上表示。Facebook向 Mashable 表示这位 Jones 确实是Facebook的员工。
“对于white hat,对认证用户使用漏洞共计是不可接受的行为。我们允许研究者去创建测试账户去完成负责任的研究行为。而在这个事件中,研究者利用他发现的漏洞,未获得多位用户首肯却在他们时间线中发布内容。
Facebook拒绝对此进一步的评论。此外根据Jones的评论,该漏洞已于上周四获得修复。
Shreateh没有因他的发现得到奖赏,因为他违反了披露条例。
Via Mashable
