Chủ Nhật, 18 tháng 8, 2013

Một chuyên gia bảo mật đã hack trang Facebook của Zuckerberg để chứng minh sự tồn tại của lỗ hổng bảo mật trên Facebook

Đỗ Lê Vũ @ nguontinviet.com

Có một sự thật là tất cả các phần mềm và website đều có lỗ hổng bảo mật. Qui mô của phần mềm và website càng lớn thì càng có nhiều lỗ hổng, dù muốn hay không thì các lập trình viên cũng không thể kiểm soát được tất cả lỗ hổng bảo mật của những sản phẩm mình làm ra. Đây là lý do đơn giản mà nhiều công ty tổ chức hoạt động “săn lỗ hổng bảo mật”, thường thì hoạt động này sẽ kéo dài cho đến khi công ty tổ chức tuyên bố kết thúc. Tất cả mọi người đều có thể tham gia để nhận phần thưởng, hoạt động này nhằm khuyến khích mọi người tìm hiểu nhiều hơn về bảo mật, đồng thời giúp các công ty lớn phát hiện và khắc phục những lỗ hổng bảo mật trước khi bị tin tặc lợi dụng vào mục đích xấu.


Hai năm trước, Facebook cũng đã tổ chức hoạt động “săn lỗ hổng bảo mật”, và kéo dài tới bây giờ. Theo thông tin từ trang Reuters, tối hôm qua một chuyên gia bảo mật người Palestin tên Khalil đã lần thứ hai gửi báo cáo tới cho đội phụ trách bảo mật của Facebook về lổ hổng mà anh phát hiện được. Sau hai lần cố gắng giải thích, Khalil chỉ nhận được câu trả lời đơn giản từ đội bảo mật của Facebook “xin lỗi, đây không phải là lỗ hổng”.


Facebook Privacy


Khalil đã quyết định hack trang Facebook của chính CEO Mark Zuckerberg và đăng lên nội dung như sau:



“Dear Mark Zuckerberg,


Đầu tiên, tôi muốn xin lỗi vì đã xâm nhập vào Facebook của anh, tôi không còn lựa chọn nào khác sau khi đã rất nỗ lực báo cáo về lỗ hổng bảo mật cho đội của Facebook.


Tôi lên là KHALIL, đến từ Palestin.


Vài ngày trước, tôi đã phát hiện ra một lỗ hổng nghiêm trọng của Facebook cho phép một người đăng tải bất kỳ thông tin nào lên giao diện timeline của người dùng Facebook khác ngay cả khi anh ta không nằm trong danh sách bạn bè.


Tôi đã báo cáo về lỗ hổng hai lần, lần đầu thì tôi nhận được trả lời là đường dẫn tôi gửi không thể mở được, lần thứ hai thì đội của anh trả lời ‘xin lỗi, đây không phải là lỗ hổng’. Tôi đã báo cáo về lỗ hổng này tại trang www.facebook.com/whitehat, và theo anh thấy đấy, tôi có thể gửi bài viết này lên giao diện timeline của anh, mặc dù tôi không nằm trong danh sách bạn bè của anh.


Còn đây là nội dung email cuối cùng của tôi trao đổi với đội phụ trách bảo mật của Facebook http://pastebin.com/zzi2WYK6


Tôi rất cảm kích vì anh đã dành thời gian để đọc bài viết này, và hi vọng một ai đó từ công ty của anh sẽ liên hệ với tôi.


sincerely

khalil”



Chỉ trong vài phút, một người của Facebook đã liên hệ với Khalil để lấy toàn bộ thông tin chi tiết về lỗ hổng này. Facebook cũng đã khóa tài khoản của Khalil trong khi họ cố gắng khắc phục lỗ hổng. Facebook đã nhanh chóng khắc phục được lỗ hổng, nhưng đã từ chối trả tiền thưởng cho Khalil và khẳng định là anh đã vi phạm qui định của Facebook.


Hãng tin Reuters cho rằng Facebook phải trả tiền cho Khalil, theo thông báo trước đó khi Facebook tổ chức “săn lỗ hổng bảo mật” thì số tiền tối thiểu mà công ty này phải trả cho mỗi lỗ hổng được phát hiện là 500 USD.




Đăng ký: Viet Blogs

Nguồn tin

Nguồn Tin Mới