技术宅为报告Facebook漏洞 黑扎克伯格主页

氧分子科技资讯网 8月19日 国际报道: 一名巴勒斯坦IT专家声称他发现了一个Facebook漏洞,并表示在被该社交网络的安全团队忽视后,他便利用该漏洞将其错误报告直接发布到了马克·扎克伯格的Facebook页面。

IT专家上报Facebook漏洞未果 将其登上扎克伯格时间轴

这名叫做Khalil Shreateh的巴基斯坦IT专家周六在一篇博客文章中写道,该漏洞允许任何人在其他人的Facebook页面上发表任何内容,而且不论他们之间是不是朋友关系都可以发布。起初,Shreateh通过Facebook的“白帽子”安全信息披露服务上报了该漏洞,只要该漏洞获得确认,这项“白帽子Bug赏金”服务系统会为上报者提供最低500美元的赏金作为奖励。

然而,尽管Shreateh上报漏洞时演示了该漏洞在扎克伯格的朋友萨拉•古德温(Sarah Goodwin)的Facebook页面上的执行情况,但Shreateh还是收到一名Facebook安全工程师的简洁回复:“对不起,这不是一个漏洞。”

秉着不屈不挠的精神,Shreateh决定向扎克伯格分享该漏洞体验,于是便利用这个漏洞在扎克伯格的Facebook页面上发布这项错误报告,之后还为此道歉,并表示对此他已经“别无他选”。

Shreateh在他发布到扎克伯格Facebook时间轴上的文章中写道:“前两天我发现了一个严重的Facebook漏洞,它能够允许用户在其他Facebook用户的时间轴中发布信息,而且其他用户甚至可以不在该用户的朋友列表。我很感谢你能够花时间阅读这篇文章,并希望你能派一名贵公司团队成员联系我。”

几分钟后,一名Facebook安全工程师便联系到了Shreateh并向其寻求该漏洞的详细信息。同时Shreateh表示,他的Facebook帐户很快被禁用。一名安全工程师告诉Shreateh,该公司将禁用他的账户作为“预防措施”。

一名自称为“约书亚”的安全工程师告诉Shreateh:“当我们发现你的行为时我们尚未完全了解情况。很遗憾的是,你在向我们的白帽系统上报的漏洞中并没有提供足够的技术信息,使得我们无法将该问题重现。因此我们不能回复你这份细节不足的漏洞报告。”

约书亚还告知Shreateh称,他将无法获得本次漏洞上报的奖励,因为他违反了该网站的服务条款。同时他写道:“但是,我们真诚地希望你能够继续和我们一起在这个网站上寻找漏洞。”

一名Facebook安全工程师周六在《黑客资讯》回应称,该漏洞已在周四被修复,并表示Shreateh确实应该在其原始报告中提供该问题的更多细节。这位安全工程师写道,由于Shreateh对该漏洞提供的信息不足,Shreateh在扎克伯格的时间轴上发布的文章违反了该社会网络的责任披露政策。

该工程师还补充说:“对白帽黑客而言,利用漏洞对实际用户造成影响的行为是不能被接受的。”并表示,研究人员可以通过创建测试账户来辅助证明他们的研究。

您可能还喜欢…

发表评论

邮箱地址不会被公开。 必填项已用*标注

您可以使用这些HTML标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>