黑客上报Facebook漏洞未果 入侵扎克伯格主页

凤凰科技讯 北京时间8月19日消息，据科技博客BusinessInsider报道，一位巴勒斯坦网络安全研究员两次上报Facebook漏洞未果，随即“黑”掉扎克伯格涂鸦墙以求关注。结果他并没有赢得Facebook的500美元奖金，反而还被工作人员冻结了账户。

通常，Facebook涂鸦墙只会显示用户自己或好友的帖子。不过，巴勒斯坦研究员Khalil Shreateh发现了一个能在别人涂鸦墙发布信息的漏洞，他将此报告给了Facebook。为证明这个漏洞真实存在，他在扎克伯格好友Sarah Goodin的涂鸦墙上发布信息，随后联系Facebook安全团队，并发表一篇长博客解释来龙去脉。

据悉，Facebook设立了奖励项目——鼓励人们上报漏洞，而不是违规利用或将漏洞卖给黑市。根据Shreateh分享的一封邮件，在这次事件中，Facebook没有像以往那样，修复漏洞并支付给上报者500美元的奖金，而是告知“这不是漏洞”。

第一次上报不奏效后，他尝试第二次警告Facebook，这一次他选择利用漏洞，在扎克伯格的涂鸦墙上发言：“很抱歉侵犯了您的隐私…但是十几天前，我发现了Facebook的一个重大漏洞”，接着还解释说Facebook的安全团队不把他当回事。

果然一招奏效，不出几分钟，就有Facebook网络安全工程师与他取得联系，询问相关细节。在《黑客新闻》（Hacker News）的帖子中，Facebook网络安全团队的马特·琼斯（Matt Jones）表示，团队一了解到漏洞之后就迅速回应，“我们周四就修复了漏洞”。

这一团队锁定了Shreateh的Facebook账户，并表示不会支付奖金——他在扎克伯格墙上的行为，违反了Facebook的服务条款。Shreateh表示，随后Facebook的安全团队请求他继续帮助寻找漏洞。

关于Shreateh是否受到公正待遇，各方评论不一。Facebook认为Shreateh上报漏洞时，没有列明详细信息，只展示漏洞，并未解释清楚前因后果。

Facebook对整个事件的评论都在《黑客新闻》上发布。下面这一小段解释了为什么Shreateh不符合接受奖金的条件：

“我们认为在不经过真实用户允许的情况下，就利用他们的账户展示漏洞，这才是问题的关键所在。对于一个正直的人来说，利用漏洞影响真实用户的行为是不可接受的。我们允许研究员在https://www.facebook.com/whitehat/accounts/上建立测试账号，以助其进行负责任的研究和测试。在本次事件中，该研究员在未经他人允许的情况下，利用自己发现的漏洞，在他人的墙上留言。”（编译/海狸）