セキュリティチームがユーザーからのバグ報告を放置したために。
パレスチナの善意のハッカーKhalil氏は、Facebookにとある脆弱性を見つけたので、バグ報告用ページから報告をあげました。Facebookのバグ報告ページでは、善意のハッカーが大きな脆弱性を通報したときには最低500ドル(約4万9000円)の褒賞がもらえることになっています。Khalil氏が見つけた脆弱性は、それを利用すると友達でも何でもない赤の他人のウォールに投稿できてしまうというもので、十分その褒賞に値すると思われました。でもFacebook側は、その報告を軽くあしらって何も対処しないままでした。そこでKhalil氏は、友達でも何でもないFacebookのCEO・マーク・ザッカーバーグのウォールにそのセキュリティホールを指摘する書き込みをしたのです。
Khalil氏はそのブログで、彼のバグ報告からザッカーバーグのウォールへの書き込み、その後のFacebookの対応に至るまでを詳細に記しています。まず彼は、セキュリティホールについて報告しつつ、テスト的にハックしたページへのリンクも送りました。でもFacebookのセキュリティチームからは「そのリンクはエラーで開けないので、バグではない」という返信があったのみでした。リンクが開けない理由はそのページが友達以外非公開になっていたからだったので、Khalilさんはそれを説明し、ハックしたページを画面キャプチャしたものも送りました。それでもセキュリティチームは「バグではない」の一点張りでした。
そこでKhalil氏は「ザッカーバーグに直接報告します」と予告、そしてその予告通り、ザッカーバーグCEOのウォールに書き込んだのです。「まず、あなたのプライバシーを侵害してウォールに書き込んで済まない」と謝罪しつつ、セキュリティチームとのやり取りを記したページへのリンクを貼りました。
その後数分もするとFacebookのエンジニアがKhalil氏に連絡してきて情報を求め、さらに彼のアカウントを「念のため」ブロックしました。その間セキュリティチームがバグの修正をしていました。
Khalilさんのアカウントはその後復活しましたが、Facebookは彼に褒賞を与えませんでした。ザッカーバーグのウォールをハックしたことで、Facebookの利用規約を侵害しているからというのが理由です。…
0 comments:
コメントを投稿