《CNET》周日 (18日) 報導,一位巴勒斯坦資訊科技專家 Khalil Shreateh 上周向臉書 (Facebook Inc.)(FB-US) 報告,發現安全漏洞方面問題,但官方並不接受其說法,於是他便利用這個漏洞,入侵臉書創始人佐克伯首頁,在上頭留言試圖說明此一狀況。
Shreateh 在部落格文章寫到,他發現的臉書安全缺陷,讓使用者可任意在陌生人臉書專頁留言發文,一開始他向臉書「白帽」安全服務團隊提出報告,並附上詳細照片說明,但他只得到一句簡短回應:「抱歉這並不是安全漏洞」。
「白帽」安全團隊提供至少 500 美元的獎金,鼓勵各方人士幫忙抓蟲填補安全漏洞。
遭打回票後,Shreateh 決定直接在創辦人佐克伯的臉書專頁上留言以茲證明,他首先為此突兀行為道歉,但也表示他「別無選擇」。
「幾天前我發現一個嚴重的臉書漏洞問題,不管是否在好友清單內,使用者將可任意在他人專頁上發表留言。感謝您撥冗閱讀此文,請讓公司團隊派人與我聯繫。」 他在佐克伯專頁上如此寫到。
這次不到幾分鐘,Shreateh 就收到臉書安全人員的聯絡,要求他詳細說明狀況,Shreateh 補充指出,他的臉書帳號很快就被封鎖,一位安全工程師告訴他,封鎖其帳號是一種「預防措施」。
該位名為 Joshua 的工程師表示:「當我們發現您的行動時,並未完全清楚掌握狀況,不幸的是您給予白帽系統的報告,並沒有足夠的技術資訊讓我們因應處理。我們無法回應資訊不完整的安全報告。」
Joshua 同時通知 Shreateh,由於他違反了臉書的服務條款,在抓蟲過程中影響到用戶,因此無法頒給他獎金,但希望他繼續與團隊合作改善資訊安全。
一位臉書工程師在 Hacker News 網站上發文指出,這個漏洞已經修補完畢,且承認 Shreateh 當初提出問題時應該要更受到重視。現在他在佐克伯專頁上留言,已違反臉書的資訊公開政策。
留言列表
