“对不起,这个问题并不是一个 bug。” 当 Facebook 安全部门以这句话回应热心的当事人 Khalil,几小时后,这间全球最大的社交公司被狠狠扇了一脸。
故事还得从头说起,Khalil Shreateh 是一名来自巴勒斯坦的白帽子,白帽子简单来说就是做好事的黑客,这次事件中 Khalil 的言行也对得起“白帽子”的称谓。话说一天,这名白帽子无意中发现了一个 Facebook 上的严重漏洞:通过这个漏洞,他能够在未经允许(互粉)的情况下,在任何人主页上的 Timeline 留下信息。这代表 Facebook 用户的隐私将被严重侵扰,问题非同小可。
图1
Khalil 首先在他的个人主页上详细描述了漏洞的一些细节,并将这个 bug 提交给了 Facebook 的安全部门。而等到 Khalil 的安全报告递交了二次之后,Facebook 方面才有了回应,而这就是文章一开始所讲的桥段:“对不起,我不认为这是一个 bug”,一名叫做 Emrakul 的 Facebook 员工回应道(图1)。
黑客的尊严不容玷污,在几小时后,Facebook CEO 兼创始人扎克伯格的 Wall 上出现了 Khalil 的“留言”(图2):“首先很抱歉破坏了您的隐私,但面对您的团队对这个漏洞孰视无睹,我已经没有选择。”最后这名白帽子不忘报上自家大名:“我叫 Khalil,来自巴勒斯坦”。
图2
图3
连老板的主页也被黑了,也许到了这一刻 Facebook 的安全部门才意识到事情的严重性,几分钟后,一名叫 Ola Okellola 的工程师(图3)以街坊的口吻敲门道,“hey,我是 Facebook 安全部门的工程师,你能否……” 他在向这位可爱的白帽子询问关于这个漏洞的详细资料。
之后 Khalil 的账号被 Facebook 关闭,当重开之后漏洞也顺路堵上了。但是这次 Khalil 的见义勇为,却得不到 500 美元的漏洞报告奖金,Facebook 给出的原因是,Khalil 的行为艺术违反了该网站的用户协议,是“不能被接受”的。除此之外,Facebook 团队在虽在安全日志上为自己失职认错,但强调这位巴基斯坦白帽子的英语水平限制了双方的交流,导致问题没有被充分讨论的机会。
也许下次,黑的不仅仅是扎克伯格的主页了。
题图来自 morethandodgeball,内文图来自 Khalil-Sh
via http://www.ifanr.com/333308
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/46353.html