没拿到Facebook漏洞奖金,安全同行募资赞助
Facebook一向针对主动提报该站漏洞资讯的研究人员提供抓漏奖金,凡经过认可的漏洞可获得至少500美元奖金,由于Facebook不认可Khalil Shreateh提报的是漏洞,因此未提供奖金,另一安全专家为Shreateh在网络募款,8小时内已募得超过8000美元,现已经达成了10000美元的募款目标。
巴勒斯坦资安研究人员Khalil Shreateh因在Facebook创办人Mark Zuckerberg的涂鸦墙上贴文以展示Facebook漏洞而在近日声名大噪,由于Facebook认为Shreateh所提报的并非漏洞,而未颁发漏洞奖金,使得另一名资安专家Marc Maiffret主动为Shreateh所发现的漏洞进行募资,现己募得逾10235美元。
Shreateh发现了Facebook上有一个允许在任何人的动态时报(Timeline)或涂鸦墙(Wall)上张贴讯息的漏洞,并提交给Facebook,但遭Facebook漠视,于是Shreateh黑进了Zuckerberg的涂鸦墙以证明他所发现的是真正的漏洞。
Facebook随后甚至以Shreateh违反该站的规范为由而将他帐号停权。
Facebook一向针对主动提报该站漏洞资讯的研究人员提供了抓漏奖金,每个被认可的漏洞至少有500美元的奖金,而Shreateh的遭遇让另一资安专家Maiffret展开募款,打算募集1万美元以鼓励Shreateh继续进行安全研究。
Maiffret说,Shreateh找到了Facebook的漏洞,却因沟通不良导致无法取得他应得的奖金,募资的意义在于感谢全世界的安全研究人员对资讯安全的贡献。
Facebook上周就修补了该漏洞,并解释该站每天都会收到许多漏洞报告,有不少只是胡言乱语,还有一些是英文不太好,而Shreateh一开始只提供一个入侵实际帐号的连结,开採漏洞并影响实际使用者违反了该站的使用条款与抓漏奖励规定。