一位名為Khalil Shreateh的「白帽駭客」(協助防禦入侵的駭客),日前向Facebook的安全團隊呈報漏洞,卻不被受理,於是直接示範這個Bug的危險性-在Facebook執行長佐克伯(Mark Zuckerberg)的動態時報上發文揭露。
如果Facebook的個人頁面設定為非公開,其他使用者是無法在上面發表任何內容。Khalil Shreateh所發現的漏洞,則能夠讓Facebook用戶繞過隱私設定,在任何其他用戶的動態時報上發文,就算不是朋友關係也一樣可行。
這位來自巴基斯坦的資訊安全研究者,曾以第一位Facebook女性使用者Sarah Goodin的頁面做測試,截圖證明自己可以利用這個漏洞在她的頁面上發表內容,但Facebook團隊的回應卻不認為這是個Bug。
Khalil Shreateh最後決定在佐克伯的個人頁面上公佈相關資訊,表示雖然對於侵犯佐克伯隱私感到抱歉,但由於Facebook並不受理他所提出的報告,只好出此下策。在這則訊息發布後不久,Facebook的工程師立即聯絡Khalil Shreateh,進一步了解詳細資訊,並暫時封鎖他的Facebook帳號。
在修復這個安全漏洞之後,雖然Khalil Shreateh的帳號恢復正常,但Facebook表示這位白帽駭客並不能獲得至少五百美元的獎金,因為他的呈報程序已妨礙到他人隱私,違反了Facebook的服務條款。
資訊來源:TechCrunch、The Verge
圖片來源:Wikimedia Commons
.png){kind=link}