• 34
Facebook 不接受黑客提供的漏洞  于是黑客黑进扎克伯格的时间线证明了漏洞的存在
统计 阅读时间大约3分钟(863字)

2013-08-21 Facebook 不接受黑客提供的漏洞 于是黑客黑进扎克伯格的时间线证明了漏洞的存在

如果你是位有能力从Facebook中查找漏洞的黑客,便可以选择将其提交到白帽子上报系统并获得一次奖励。但Facebook无视了你,那怎么办呢?巴勒斯坦黑客的做法是:利用该漏洞黑进马克的时间线证明自己,不过这样他就得不到奖励了…

猎云网8月21日报道(编译:介错人)

如果你是位有能力从Facebook中查找漏洞的黑客,便可以选择将其提交到白帽子上报系统并获得一次奖励。

但如果 Facebook无视你提交的漏洞报告,那你会怎样何处理呢?

一位巴勒斯坦黑客则选择利用他所试图上报的漏洞,将报告直接贴进Facebook创始人马克 扎克伯格个人帐号的时间线上。

这位名叫Khalil Shreate巴勒斯坦开发者兼黑客发现一种绕过Fackbook隐私设置的方式,可以在任何用户的时间线上发布内容——即使这些用户并非你的个人好友。

最初,他尝试通过邮件将该漏洞上报到漏洞奖励程序中。但该社交网络却未能识别他所上报的漏洞(根据他博客的记载)。

在上报该漏洞前,Shreateh经测试成功在Sarah Goodin(扎克伯格的前大学同班同学)的留言墙上张贴了内容。他甚至将该链接也附至报告邮件中,但收到邮件的Fackbook系统安全员工(名为Emrakul)却无法在链接中查看该内容——因为他和Goodin在Facebook中不是好友关系。

Shreateh于是又发送了一条官方报告并再次解释了这条漏洞。这一次Emrakul根据其申诉回答到:很抱歉,但这并不是一条漏洞。于是Shreateh回答:OK,看来我别无选择唯有向马克亲自提交了。

然后他居然真就这么做了!

shreateh_zuckerberg_post

该杰作吸引了Ola Okelola,另一位Facebook安全工程师的的注意。Okelola通过在发布条目下的评论,向其询问了该漏洞的其他细节。简短的讨论过后,Shreateh的Facebook账户作为警告被停用。而另一位名为Joshua的Facebook安全工程师则通过邮件向Shreateh进行说明。

“很抱歉,你向 Whiteha t系统提交的报告并没有提供足够的技术细节,”Joshua写道。“我们不能向未包含充分细节的报告采取对策”。他补充:“因为你的行为侵犯了系统正常运转,所以我们不幸地通知您不能对你上报的这条漏洞进行奖励支付。”

Shreateh 在扎克伯格时间线上张贴内容的行为同样违反了Facebook的上报责任条例:禁止用户利用漏洞在未经其他用户许可的情况下,在其他用户身上展示漏洞。

“其中更重要的一点是其为展示漏洞,在未经当事人许可的情况下使用了认证用户的帐号”,Fackbook的 Matt Jones 在 Hacker News 网站上表示。Facebook向 Mashable 表示这位 Jones 确实是Facebook的员工。

“对于white hat,对认证用户使用漏洞共计是不可接受的行为。我们允许研究者去创建测试账户去完成负责任的研究行为。而在这个事件中,研究者利用他发现的漏洞,未获得多位用户首肯却在他们时间线中发布内容。

Facebook拒绝对此进一步的评论。此外根据Jones的评论,该漏洞已于上周四获得修复。

Shreateh没有因他的发现得到奖赏,因为他违反了披露条例。

Via Mashable

1、猎云网原创文章未经授权转载必究,如需转载请联系官方微信号进行授权。
2、转载时须在文章头部明确注明出处、保留官方微信、作者和原文超链接。如转自猎云网(微信号:lieyunjingxuan
)字样。
3、猎云网报道中所涉及的融资金额均由创业公司提供,仅供参考,猎云网不对真实性背书。
4、联系猎云,请加微信号:jinjilei
相关阅读
推荐阅读
{{item.author_display_name}}
{{item.author_display_name}}
{{item.author_user_occu}}
{{item.author_user_sign}}
×