“Dằn mặt” CEO Facebook để cảnh báo lỗi bảo mật

09:07 | 19.08.2013

Sau khi bị đội bảo mật của Facebook “lờ” đi, một lập trình viên đã tấn công tài khoản Facebook của Tổng Giám đốc (CEO) Mark Zuckerberg để cảnh báo.

shreateh_zuckerberg_post.jpg

Nếu phát hiện là lỗ hổng bảo mật trên Facebook, người dùng có thể thông báo và nhận tiền thưởng cho khám phá của mình. Tuy nhiên, không phải ai cũng có thể nhận được điều này.

Khalil Shreateh, lập trình viên người Palestine, là một ví dụ. Anh đã tấn công tài khoản Facebook của Zuckerberg để thông báo lỗi sau khi những nỗ lực liên lạc với Facebook bị bỏ qua. Shreateh đã phát hiện một cách vượt qua thiết lập quyền riêng tư của Facebook để đăng bất cứ thứ gì lên “timeline” của người khác, dù họ không nằm trong danh sách bạn bè.

Ban đầu, anh báo cáo lỗ hổng qua email tới chương trình báo lỗi của Facebook. Tuy nhiên, mạng xã hội không nhận ra lỗ hổng trong báo cáo của anh. Trước khi báo lỗi, Shreateh đã thử nghiệm thành công khi đăng lên “tường” Sarah Goodin, bạn cùng lớp cũ của Zuckerberg. Anh còn đính kèm một đường dẫn trong email song nhân viên bảo mật nhận email tên Emrakul của Facebook không thể xem được bài đăng này vì không phải bạn của Goodin.

Sau đó, Shreateh tiếp tục gửi đi báo cáo chính thức khác, giải thích về lỗ hổng. Lần này, Emrakul trả lời đây không phải lỗi. Chính vì điều đó, Shreateh không còn cách nào khác ngoài việc báo lỗi cho Zuckerberg ngay trên chính Facebook của anh ta.

Bài đăng trên “tường” CEO Facebook thu hút sự chú ý của Ola Okelola, một nhân viên bảo mật khác của mạng xã hội. Sau khi trao đổi, tài khoản của Shreateh bị tạm dừng dịch vụ. Theo Facebook giải thích, bản báo cáo đầu tiên của anh không có đủ thông tin kĩ thuật. Anh cũng không thể nhận được tiền thưởng do hành vi “hack” tài khoản của Zuckerberg đã vi phạm Điều khoản dịch vụ và Chính sách của Facebook: không cho phép những ai khám phá ra lỗ hổng tận dụng lợi thế và chứng minh lỗ hổng trên tài khoản của người khác khi chưa được sự đồng ý. Facebook cho biết lập trình viên có thể tự tạo ra mật khẩu để thử nghiệm thay vì áp dụng trên tài khoản của người dùng thực tế.

Lỗ hổng đã được Facebook vá vào hôm 15/8.

Theo ICTNews

Bản để in Chia sẻ

Tin mới nhận

Các tin khác