Phát hiện lỗi bảo mật Facebook nhưng không được thưởng

Cách đây không lâu, Khalil Shreateh, một người Palestine đã phát hiện ra một lỗ hổng bảo mật khiến cho ai cũng có thể post nội dung lên timeline của người khác, dù chưa kết bạn với họ. Tuy nhiên, Facebook từ chối trả thưởng vì cho rằng anh này đã vi phạm quy định bảo mật của hãng.

Thư của anh này gửi cho CEO Facebook khi đăng lên timeline mà ko cần kết bạn

Shreateh đã đăng tải lỗ hổng bảo mật này lên trang Facebook Whitehat, một website cho phép thiết lập tài khoản test để công bố các lỗ hổng trên Facebook, và nếu lỗi này được Facebook xác nhận thì hãng sẽ thưởng cho người phát hiện ra nó khoản tiền ít nhất là 500$. Sau mọi nỗ lực thông báo bị Facebook thờ ơ, Shreateh đã xâm nhập vào timeline của chính CEO Facebook, tỷ phú Mark Zuckerberg thông báo lỗi bằng 1 đường link trên wall của vị CEO trẻ.

Anh ta cũng đã hack tài khoản Facebook của Sarah Goodin, một người bạn thân của CEO Zuckerberg thời đại học và cũng là người đầu tiên đăng kí sử dụng mạng xã hội này. Shreateh gửi đến nhóm bảo mật của Facebook một ảnh chụp màn hình về việc dùng tài khoản của Sarah Goodin để đăng tải các đường link lên timeline. Sau việc này thì Facebook có liên hệ với “hacker trắng” này kèm theo việc vô hiệu hóa tài khoản của anh, có lẽ là để tránh các mối nguy hiểm bị lan rộng hơn.

Email của bộ phận kĩ thuật Facebook trả lời về việc báo lỗi của Khalil Shreateh

Thế nhưng, trong trường hợp của Shreateh, Facebook cho rằng hành động post lên timeline của nhiều người sử dụng đã vi phạm điều khoản, liên quan đến việc không tự ý post thông tin mà không có sự đồng ý của chủ sở hữu tài khoản. Chính vì thế, Facebook sẽ không trả tiền thưởng cho Shreateh vì anh đã vi phạm quy định bảo mật của Facebook.

Marc Maiffret, giám đốc công nghệ của công ty an ninh mạng BeyondTrust, đang cố gắng huy động các hacker đồng nghiệp khác đóng góp phần thưởng 10.000 USD cho Shreateh sau khi Facebook từ chối. Hiện tại Maiffret đã huy động được 9000 USD, bao gồm cả 2000 USD tiền túi ban đầu của mình. Maiffret cùng những hacker khác cho rằng thật bất công khi Facebook từ chối Shreateh, một người Palestine, đã cố gắng mày mò nghiên cứu trên một chiếc máy tính cũ xì dùng 5 năm trời mà lại còn hư hỏng gần như một nửa. Không chỉ đơn giản là tiền mà việc thưởng này còn chứa đựng những ý nghĩa khích lệ rất lớn. Marc Maiffret nghỉ học giữa chừng từ trung học, tự tìm tòi và học hỏi nghề hacker nên ông rất thấu hiểu điều này.

Trang huy động tiền thưởng cho Khalil Shreateh của Marc Maiffret đã vượt chỉ tiêu

Trong khi đó, giám đốc điều hành bảo mật của Facebook, Joe Sullivan cho biết trong một bài blog của hãng rằng: “Chúng tôi sẽ không thay đổi quyết định từ chối trả tiền thưởng cho các cá nhân đã thực hiện kiểm tra lỗ hổng bảo mật bằng tài khoản của người dùng thật”

Facebook đã chi trả hơn 1 triệu USD cho chương trình "Bug Bounty", một chương trình nhằm kêu gọi và thưởng ít nhất là 500 USD cho cá nhân phát hiện ra những lỗ hổng bảo mật của công ty cũng theo một nguyên tắc như vậy.

Theo Business Insider