Thứ Hai, 19 tháng 8, 2013

Báo cáo lỗ hổng bảo mật nhưng bị FB bỏ qua, chuyên gia IT trình diễn lỗi với Timeline của Zuckerberg

Fcaebook_bi_hack_loi_bao_mat.

Nếu như không đặt chế độ cho tài khoản Facebook là "công cộng" (public) thì chỉ có bạn bè trong danh sách Friends mới được phép đăng tải thông tin lên timeline của bạn. Thế nhưng Khalil Shreateh, một chuyên gia IT đến từ Palestine, nói rằng anh ta đã khám phá ra lỗ hổng bảo mật cho phép bất kì ai cũng có thể đăng tải thông tin (cụ thể là một đường link) lên timeline của người dùng Facebook. Shreateh nói anh đã báo cáo vấn đề này với Facebook, nhưng thay vì xem xét những quan ngại mà anh đưa ra, Facebook chỉ đơn giản nói đây không phải là lỗi và bỏ qua nó. Và để chứng minh lỗi này có thật, anh đã áp dụng nó để đăng tải link lên tài khoản Facebook của hai người, trong đó có cả timeline của CEO Mark Zuckerberg.

Cụ thể, Shreateh nói rằng anh ta đã thử nghiệm lỗ hổng này với tài khoản Facebook của Sarah Goodin, một người bạn của CEO Zuckerberg thời đại học và cũng là người phụ nữ đầu tiên đăng kí sử dụng mạng xã hội này. Shreateh gửi đến nhóm bảo mật của Facebook một ảnh chụp màn hình về việc dùng tài khoản của mình đăng tải thành công một đường link lên timeline của Sarah Goodin, thế nhưng nhóm bảo mật không thể thấy được bài post này bởi Goodin đã giới hạn quyền được phép xem. Kĩ sư của Facebook, người chỉ được biết đến với cái tên Emrakul, đã đơn giản phản hồi lại với Shreateh rằng đây không phải là lỗi mà không hỏi thêm bất kì thông tin gì thêm.
Loi_Facebook_2.

Không hài lòng với phản hồi này, Shreateh quyết định sẽ thông báo cho chính Mark Zuckerberg bằng cách post thêm một đường link lên timeline của vị CEO này. Vài phút sau, kĩ sư Facebook có tên Ola Okelola đã liên hệ với Shreateh để yêu cầu cung cấp thêm thông tin về lỗ hổng mà anh đã phát hiện ra. Ngay lập tức, tài khoản của Facebook của Shreateh đã bị vô hiệu hóa, có lẽ là để tránh mối quan ngại bị lan rộng hơn, và được kích hoạt lại vài giờ sau.

Loi_Facebook_1.

Sau đó, Shreateh cũng đã đăng tải lỗ hổng bảo mật này lên trang Facebook Whitehat, một website cho phép thiết lập tài khoản test để trình diễn lỗi, và nếu lỗi này được Facebook xác nhận thì hãng sẽ thưởng cho người phát hiện ra nó khoản tiền ít nhất là 500$. Thế nhưng trong trường hợp của Shreateh, Facebook nói hành động post lên timeline của nhiều người đã "vi phạm điều khoản sử dụng dịch vụ" liên quan đến việc không được tự ý post thông tin mà không có sự đồng ý của chủ sở hữu tài khoản. Chính vì thế, Facebook không thể trả tiền thưởng cho Shreateh.

Facebook cho biết thêm rằng lỗ hổng mà Shreateh tìm ra đã được khắc phục hồi thứ 5 tuần rồi, và thừa nhận là đáng lẽ công ty phải hỏi thêm thông tin ngay trong lần đầu tiên Shreateh báo cáo vấn đề bảo mật với hãng.