Không hài lòng với phản hồi này, Shreateh quyết định sẽ thông báo cho chính Mark Zuckerberg bằng cách post thêm một đường link lên timeline của vị CEO này
Nguồn: Blog của Shreateh , Phản hồi của Facebook. Thế nhưng trong trường hợp của Shreateh, Facebook nói hành động post lên timeline của nhiều người đã "vi phạm điều khoản dùng dịch vụ" can dự đến việc không được tự tiện post thông tin mà không có sự đồng ý của chủ sở hữu trương mục. Cụ thể, Shreateh nói rằng anh ta đã thể nghiệm lỗ hổng này với account Facebook của Sarah Goodin, một người bạn của CEO Zuckerberg thời đại học và cũng là người nữ giới đầu tiên đăng kí dùng mạng tầng lớp này
Sau đó, Shreateh cũng đã đăng tải lỗ hổng bảo mật này lên trang Facebook Whitehat , một website cho phép thiết lập account test để biểu diễn lỗi, và nếu lỗi này được Facebook công nhận thì hãng sẽ thưởng cho người phát hiện ra nó khoản tiền ít nhất là 500$. Tức thời, tài khoản của Facebook của Shreateh đã bị vô hiệu hóa, có lẽ là để tránh mối quan ngại bị lan rộng hơn, và được kích hoạt lại vài giờ sau.
Vài phút sau, kĩ sư Facebook có tên Ola Okelola đã liên hệ với Shreateh để đề nghị cung cấp thêm thông báo về lỗ hổng mà anh đã phát hiện ra
Kĩ sư của Facebook, người chỉ được biết đến với cái tên Emrakul, đã đơn giản phản hồi lại với Shreateh rằng đây không phải là lỗi mà không hỏi thêm bất kì thông tin gì thêm. Chính nên chi, Facebook chẳng thể trả tiền thưởng cho Shreateh. Shreateh gửi đến nhóm bảo mật của Facebook một ảnh chụp màn hình về việc dùng trương mục của mình đăng tải thành công một đường link lên timeline của Sarah Goodin, thế nhưng nhóm bảo mật chẳng thể thấy được bài post này bởi Goodin đã giới hạn quyền được phép xem.
Facebook cho biết thêm rằng lỗ hổng mà Shreateh tìm ra đã được khắc bình phục thứ 5 tuần rồi, và dìm là đáng lẽ công ty phải hỏi thêm thông báo ngay trong lần đầu tiên Shreateh thưa vấn đề bảo mật với hãng.
No comments:
Post a Comment