趋势网(微博)讯:卡里尔谢尔塔(Khalil Shreateh)是巴勒斯坦一名IT研究人员。最近他发现了脸书(Facebook)的一个大的安全漏洞,但脸书(Facebook)却无视他的发现。因此他用开拓工具exploit把漏洞问题写在了马克扎克伯格(Mark Zuckerberg)的墙上。
这次卡里尔利用开拓工具的事件违反了脸书(Facebook)运行的很简单然而却很基本的原则,那就是:如果你不是一个人的朋友,那你就不能在他的墙上留言或是发链接。至少理论上是这样的。
尽管这次的安全漏洞看起来比较严重,卡里尔称脸书(Facebook)并没有重视。在卡里尔发送的两封信息石沉大海之后,脸书(Facebook)终于给了他一个答复:“我很抱歉地告诉你,这个不是漏洞,”公司是这样回应的。
趋势网海外记者了解到的是,结果就是,卡里尔没有其他办法,只能通过直接在脸书(Facebook)CEO的个人主页里留言来告示公司这个程序错误。
就跟预料中的一样,卡里尔终于引起了脸书(Facebook)的注意。几分钟之内,卡里尔就收到脸书(Facebook)其中一名安全保障工程师的回复,他希望卡里尔提供有关漏洞更详尽的信息。
这不是最有趣的,接下来要发生的才是非常有意思的。脸书(Facebook)不仅暂时封了卡里尔的账号,并且公司还拒绝支付卡里尔发现漏洞的酬金,脸书(Facebook)这样做都是因为卡里尔上报方式不对。
你可能会很容易因为脸书(Facebook)这次处理事故的方式就弃用脸书(Facebook),然而想想卡里尔可怜的英语,就不难理解为什么脸书(Facebook)一直都不重视他的上报信息。同样的,卡里尔在他第一份报告中并没有提供足够的信息,这样就让脸书(Facebook)高层难以重视以及跟进了。
更新:黑客 新闻 的一个话题提到了脸书(Facebook)一名员工透露了脸书(Facebook)在这次事件的立场背景:
我们每天都会收到几百份报告。我们很多精华报告都出自英语不太好的人之手,虽然这具有一定挑战性,但我们目前还是在这方面做得很好,并且我们支付给成千上百名报告者的酬劳已经超过了一百万美元。我们收到的报告中也有很多是没有意义或是不正确的,甚至还有一些报告是复制指令的一部分(如果你输入密码,然后直接浏览网页源代码功能,你就可以获取密码了!当你提交密码时,它在超文本传输协议安全是不加密传送的)。
即使是这样,脸书(Facebook)还是应该诚心诚意地酬谢那些人。想想公司在过去两年光是付给黑客的钱就有一百万美元那么多,那他们就不会在乎这一点点小钱了。
进
店
进
店
进
店
