「對不起,這個問題並不是一個 bug。」 當 Facebook 安全部門以這句話回應熱心的駭客 Khalil,幾小時後,這間全球最大的社群網站被狠狠的打臉了。
故事還得從頭說起,Khalil Shreateh 是一名來自巴勒斯坦的白帽駭客,白帽駭客簡單來說就是做好事的駭客,這次事件中 Khalil 的言行也對得起「白帽」的稱謂。話說一天,這名白帽駭客無意中發現了一個 Facebook 上的嚴重漏洞,透過這個漏洞,他能夠在未經允許(互加為好友)的情況下,在任何人首頁上的動態消息留下資訊。這代表 Facebook 用戶的隱私將被嚴重侵擾,問題非同小可。
▲在Khalil回報漏洞後,臉書員工回覆:「這不是一個Bug」
Khalil 首先在他的個人主頁上詳細描述了漏洞的一些細節,並將這個 bug 提交給了 Facebook 的安全部門。而等到 Khalil 的安全報告遞交了二次之後,Facebook 方面才有了回應,而這就是文章一開始所講的橋段,一名叫做 Emrakul 的 Facebook 員工回應道:「對不起,我不認為這是一個 bug」。
駭客的尊嚴不容玷污,在幾小時後,Facebook CEO 兼創始人馬克札伯格的動態消息上出現了 Khalil 的「留言」:「首先很抱歉破壞了您的隱私,但面對您的團隊對這個漏洞視若無睹,我已經沒有選擇。」最後這名白帽駭客不忘報上自家大名:「我叫 Khalil,來自巴勒斯坦」。
▲Khalil 到馬克札伯格的首頁上留言:「首先很抱歉破壞了您的隱私,但面對您的團隊對這個漏洞視若無睹,我已經沒有選擇。」
連老闆的首頁也被駭了,也許到了這一刻 Facebook 的安全部門才意識到事情大條了,幾分鐘後,一名叫 Ola Okellola 的工程師以街坊的口吻敲門道,「Hey,我是 Facebook 安全部門的工程師,你能否……」 他在向這位可愛的白帽駭客詢問關於這個漏洞的詳細資料。
▲臉書工程師終於回信詢問漏洞的細節。
之後 Khalil 的帳號被 Facebook 關閉,當重開之後漏洞也順便堵住了。但是這次 Khalil 的見義勇為,卻得不到 500 美元的漏洞報告獎金,Facebook 給出的原因是,Khalil 的「行為藝術」違反了該網站的使用者協議,是「不能被接受」的。除此之外,Facebook 團隊在雖在安全性記錄檔上為自己失職認錯,但強調這位巴勒斯坦白帽駭客的英語水準限制了雙方的交流,導致問題沒有被充分討論的機會。
不過沒差,反正要找Khalil去他們公司工作的MAIL已經有一大堆了!。(圖片來源morethandodgeball、Khalil-Sh)
對『我』來說FB的負面事件又多一件
這位白帽駭客舉動已經非常斯文...壞一點的,說不定就直接公佈出來,讓大家使用
FB自己不檢討為何自己員工沒發現,反而覺得「英語水準限制了雙方的交流,導致問題沒有被充分討論的機會」?
既然一堆人都說臉書這麼爛
但為什麼就是不會乾脆戒掉不要用?
像我都已經不記得上次開臉書是什麼時候了 ╮(╯_╰)╭
> 不懂
> 既然一堆人都說臉書這麼爛
> 但為什麼就是不會乾脆戒掉不要用?
> 像我都已經不記得上次開臉書是什麼時候了 ╮(╯_╰)╭
因為朋友都在用,不得不用
撇除隱私安全的問題,它真的是一個很好用的東西
<( ̄︶ ̄)>
而且我其實也遇過回報bug他回信跟我說那個不是bug的狀況
只是我沒厲害到可以去hack人家的帳號......