Tham dự Tech Lounge

Tham dự Tech Lounge


Báo cáo lỗ hổng bảo mật nhưng bị FB bỏ qua, chuyên gia IT trình diễn lỗi với Timeline của Zuckerberg

Duy Luân
18/8/2013 15:31Phản hồi: 75
Báo cáo lỗ hổng bảo mật nhưng bị FB bỏ qua, chuyên gia IT trình diễn lỗi với Timeline của Zuckerberg
Fcaebook_bi_hack_loi_bao_mat.jpg

Nếu như không đặt chế độ cho tài khoản Facebook là "công cộng" (public) thì chỉ có bạn bè trong danh sách Friends mới được phép đăng tải thông tin lên timeline của bạn. Thế nhưng Khalil Shreateh, một chuyên gia IT đến từ Palestine, nói rằng anh ta đã khám phá ra lỗ hổng bảo mật cho phép bất kì ai cũng có thể đăng tải thông tin (cụ thể là một đường link) lên timeline của người dùng Facebook. Shreateh nói anh đã báo cáo vấn đề này với Facebook, nhưng thay vì xem xét những quan ngại mà anh đưa ra, Facebook chỉ đơn giản nói đây không phải là lỗi và bỏ qua nó. Và để chứng minh lỗi này có thật, anh đã áp dụng nó để đăng tải link lên tài khoản Facebook của hai người, trong đó có cả timeline của CEO Mark Zuckerberg.

Cụ thể, Shreateh nói rằng anh ta đã thử nghiệm lỗ hổng này với tài khoản Facebook của Sarah Goodin, một người bạn của CEO Zuckerberg thời đại học và cũng là người phụ nữ đầu tiên đăng kí sử dụng mạng xã hội này. Shreateh gửi đến nhóm bảo mật của Facebook một ảnh chụp màn hình về việc dùng tài khoản của mình đăng tải thành công một đường link lên timeline của Sarah Goodin, thế nhưng nhóm bảo mật không thể thấy được bài post này bởi Goodin đã giới hạn quyền được phép xem. Kĩ sư của Facebook, người chỉ được biết đến với cái tên Emrakul, đã đơn giản phản hồi lại với Shreateh rằng đây không phải là lỗi mà không hỏi thêm bất kì thông tin gì thêm.
Loi_Facebook_2.jpg

Không hài lòng với phản hồi này, Shreateh quyết định sẽ thông báo cho chính Mark Zuckerberg bằng cách post thêm một đường link lên timeline của vị CEO này. Vài phút sau, kĩ sư Facebook có tên Ola Okelola đã liên hệ với Shreateh để yêu cầu cung cấp thêm thông tin về lỗ hổng mà anh đã phát hiện ra. Ngay lập tức, tài khoản của Facebook của Shreateh đã bị vô hiệu hóa, có lẽ là để tránh mối quan ngại bị lan rộng hơn, và được kích hoạt lại vài giờ sau.

Loi_Facebook_1.jpg

Sau đó, Shreateh cũng đã đăng tải lỗ hổng bảo mật này lên trang Facebook Whitehat, một website cho phép thiết lập tài khoản test để trình diễn lỗi, và nếu lỗi này được Facebook xác nhận thì hãng sẽ thưởng cho người phát hiện ra nó khoản tiền ít nhất là 500$. Thế nhưng trong trường hợp của Shreateh, Facebook nói hành động post lên timeline của nhiều người đã "vi phạm điều khoản sử dụng dịch vụ" liên quan đến việc không được tự ý post thông tin mà không có sự đồng ý của chủ sở hữu tài khoản. Chính vì thế, Facebook không thể trả tiền thưởng cho Shreateh.

Facebook cho biết thêm rằng lỗ hổng mà Shreateh tìm ra đã được khắc phục hồi thứ 5 tuần rồi, và thừa nhận là đáng lẽ công ty phải hỏi thêm thông tin ngay trong lần đầu tiên Shreateh báo cáo vấn đề bảo mật với hãng.

75 bình luận
Chia sẻ

Xu hướng

hôm qua đọc báo vụ này rồi, facebook xù công của lập trình viên này.

p/s: sory các bác, đang search google nên trong đầu toàn chữ google gõ nhầm thành google. 😁 Chứ biết là fb
lich101
ĐẠI BÀNG
11 năm
@allstreet vâng, và mày đã "Ngu đến 3 lần rồi". Lên đọc lại bài đi, tài lanh không à.
@allstreet
Google mua lại fb hồi nào vậy?
@Duy Luân Người ta đã ghi là không còn lựa chọn nào khác mới phải trình diễn lỗi lên timeline của Zuckerberg. Chẳng phải vô hiệu hóa tài khoản của Shreateh thì là "có tật giật mình sao".
@lich101 Facebook ko phải xù, 500$ là gì đâu đối với facebook , nhưng anh kia chưa chỉ rõ thông tin lổ hổng, nên người ta tưởng anh đùa
Shreateh quyết định sẽ thông báo cho chính Mark Zuckerberg bằng cách post thêm một đường link lên timeline của vị CEO này
tctvn
TÍCH CỰC
11 năm
hơi bị kỳ nha
Ba cái lỗi cò con nên ko đc thưởng gì cả
Chắc phải đánh sập Fb may ra mới có thưởng!
Fb giàu mà ki bo ghê giống hệt Ceo của fb
kuomdaica
ĐẠI BÀNG
11 năm
@Thang_eu Đánh sập phát thì được thưởng cái lịch vạn niện =))
@Thang_eu Đánh sập facebook cũng chắc gì đã được thưởng vì biết đâu facebook lại biện lý do vi phạm điều khoản sử dung.
chuot2411
ĐẠI BÀNG
11 năm
không muốn trả tiền đây mà😁
Không công nhận lỗi và về nhà đóng cửa âm thầm khắc phục=))
nthkmf
TÍCH CỰC
11 năm
@nguyenvanha1229 Bao biện cho mấy chú gà nhà, người ta báo lỗi, tự cao không nhận lỗi, tới khi bị phui ra, quê độ ko trả tiền luôn :v
Thưởng bèo y như VN sao?
Bảo thủ quá có ngày ăn đủ thôi
nguy cơ bị theo dõi khi dùng FB và smartphone là có thật
Vài ba cái ảnh, mấy dòng chém gió bóng bánh, bia rượu, gái gú... Hack làm gì cho mất công. Thằng nào nhiều bảo mật thì mới sợ chứ mình toàn ảo có gì mà mất😁
tuanbode
TÍCH CỰC
11 năm
Bọn Tây đôi khi cũng quan liêu phết.
Có $500, đâu đến mức phải thế đâu nhỉ? Cái cách mà nhiều hãng lờ đi việc phát hiện lỗ hổng bảo mật đúng là không thể chấp nhận được. Chẳng lẽ phải đánh sập Facebook thì người ta mới chịu nhận à. Đùa chứ nếu đánh sập thì lại mang tiếng là hacker, lâm vào lao lý chẳng chơi.
npvinhthai
ĐẠI BÀNG
11 năm
lỗi liên quan đến timeline thì phải trình diễn lên timeline mới thấy được chứ. Vi phạm cái gì trời, FB vớ va vớ vẫn.
@npvinhthai vớ va vớ vẩn, người ta cho nguyên cả một trang để test, có thể lập tài khoản test mà không chịu làm. lại đi vi phạm quyền riêng tư của người khác.
ông đầu cmt linh tinh cả. Sáng chắc chưa rửa mặt. :-D
bác nào k vào đc fb thì thêm host vào nha. chặn fb thì mặc...
mr_tam
TÍCH CỰC
11 năm
FB họ đã tiết kiệm đc $500
Ước gì mình phát hiện đc lỗi như khali,số tiền sẽ là 5000$ chứ ko phải 500 $.
Có điều....đầu đất... nên ước chỉ để có cái để ước :oops:
500$ cũng quỵt, hơi thất vọng
Mod nào " độc tài , áp đặt " xoá cm của mình Cho lời giải thích với

Xu hướng

Bài mới









  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2024 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: Số 70 Bà Huyện Thanh Quan, P. Võ Thị Sáu, Quận 3, TPHCM
  • Số điện thoại: 02822460095
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019