เจอบั๊กวอลล์ Facebook แต่บริษัทไม่สนใจ เลยโพสต์ลงหน้าวอลล์ Zuckerberg ซะเลย

By mk Founder on Tag: Security, Mark Zuckerberg, Facebook
Security

ผู้เชี่ยวชาญด้านความปลอดภัยจากปาเลสไตน์ชื่อ Khalil ค้นพบช่องโหว่ของ Facebook ที่ทำให้เราโพสต์ข้อมูลบนหน้าวอลล์ของผู้ใช้คนใดก็ได้ เขาแจ้งข้อมูลช่องโหว่นี้ไปยังทีมความปลอดภัยของ Facebook แต่ทางทีมกลับบอกว่า "นี่ไม่ใช่บั๊ก" แม้ Khalil ยินดีจะสาธิตการทำงานของบั๊กก็ตาม

Khalil ไม่มีทางเลือกอื่น เขาจึงใช้ช่องโหว่ที่ค้นพบนี้โพสต์ข้อมูลบนหน้าวอลล์ของ Mark Zuckerberg มันเสียเลย ในโพสต์ของ Khalil เริ่มจากการขอโทษ Zuckerberg ที่บุกรุกความเป็นส่วนตัว ก่อนจะรายงานปัญหาและอธิบายว่าเขาแจ้งผ่านทีมความปลอดภัยแล้วไม่ได้รับการตอบสนอง

หลังจากนั้นไม่กี่นาที Khalil ได้รับการติดต่อจากทีมวิศวกรของ Facebook ทันที บัญชีของเขาถูกบล็อคเพื่อป้องกันไม่ให้ก่ออันตรายแก่ผู้อื่นในระหว่างที่ทีมวิศวกรกำลังอุดช่องโหว่ และทางทีมความปลอดภัยก็ยอมรับว่าบั๊กนี้เป็นปัญหาช่องโหว่จริงๆ

อย่างไรก็ตาม Khalil ไม่ได้เงินรางวัล 500 ดอลลาร์เหมือนผู้แจ้งบั๊กความปลอดภัยรายอื่นๆ เพราะ Facebook ระบุว่าเขาละเมิดเงื่อนไขการใช้งานของระบบนั่นเอง

ที่มา - RT

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

nowingnoid Sun, 18/08/2013 - 21:04

อื้มมม.... พี่ครับ... บ้านพี่ หน้าต่างมันไม่ดี ขโมยเข้าได้ครับ!!

อ๋อน้อง ไม่ใช่มันไม่ดีน้อง มันเป็นแบบนี้แหละ! ปกติ!!

(เข้าไปขโมยของชั้นบน แล้วเดินลงบันไดมาข้างล่าง ที่คนอยู่กันเต็ม)

แล้วบอกว่า ขอโทษนะครับ ที่เข้ามาโดยพละการ และหยิบของติดมาชิ้นนึง

เพราะอยากให้ทุกคนรู้ว่า... บ้านมันไม่ปลอดภัยครับ!!

^___^

// ผมอาจจะคิดผิดก็ได้นะ

hisoft Sun, 18/08/2013 - 22:18

ผมว่ามันน่าจะเป็น

#มีป้ายติดหน้าบ้าน บอกว่าถ้าพบช่องโหว่ให้แจ้งด้วย มีรางวัลให้

นายเอ - พี่ครับ บ้านนี้หน้าต่างมันไม่ดีนะ ขโมยเข้าได้ครับ

คนสวน - อ๋อน้อง ไม่ใช่มันไม่ดีน้อง มันเป็นแบบนี้แหละ ปกติ

นายเอ - มันอันตรายจริง ๆ นะครับ เนี่ย เดี๋ยวผมเข้าให้ดู

คนสวน - ไม่ต้องหรอกน้อง ไปไหนก็ไป

(ใช้เทคนิคเข้าทางหน้าต่าง แล้วเดินไปสะกิดเจ้าของบ้าน)

นายเอ - ขอโทษครับพี่ บลา บลา บลา

คนสวนเดินมากระชากคอลากออกจากบ้าน บอกว่าทำแบบนี้ได้ยังไง พร้อมกับถีบหัวส่งโดยไม่ให้เงินรางวัล

nowingnoid Sun, 18/08/2013 - 23:55

ครับ ผมบอกแล้วว่าอาจจะคิดผิดก็ได้

แต่ว่าอยากได้ฟังจากคุณน่ะครับ ว่าคุณเห็น หรือคิดว่ายังไงบ้าง

ไม่อยากอ่านแค่ว่า มันจะไปบิดประเด็น...

ไม่ได้กวนอะไรนะครับ ความเห็นแบบนี้ ผมไม่ค่อยได้อะไรเท่าไหร่!!

neonicus Sun, 18/08/2013 - 23:26

ผมว่าตัวอย่างไม่ตรงครับ
เพราะจากข่าวผิดที่ละเมิดครับ

กรณีหน้าต่างคุณ ผิดที่เข้าบ้านไม่ได้หยิบของแต่อย่างใด

neonicus Mon, 19/08/2013 - 16:12

ตีความผิดแล้วอย่ามาต่อเลยครับ

ผมหมายถึงมันผิดตั้งแต่เข้าบ้านคนอื่นแล้ว

แต่คนตั้งตัวอย่างบอกว่าผิดที่หยิบของ

เหมือนไปรุกล้ำwallคนอื่น แค่ไปโพสต์ก็ผิดแล้ว แม้จะเข้าไปชื่นชม

เหมือนคนแอบเข้าบ้านเอาของขวัญไปวางให้

แม้จะให้ของแต่เข้าบ้านเค้าก็ผิดแล้ว

//มาอ่านอีกทีผมพิมพ์ข้างบนไม่ชัดเจนนะแหละ จิ้มจากมือถือเลยพิมพ์สั้นๆ
//ผิดที่ผมเอง

nowingnoid Mon, 19/08/2013 - 20:21

ในตัวอย่างนั้น ผมหมายถึง ผิดตั้งแต่แอบเข้าแล้วล่ะครับ

แต่ยกกรณีหยิบของมาด้วย ให้มันดูเกินขึ้นมา

เพราะอะไร... (แจ้งก่อนว่าผมพิมพ์ผิดเรื่องขโมย คือเจตนาไม่ใช่การขโมยของ

แต่เป็นการหยิบของออกมาเพื่อให้ดูว่า เราเข้าถึงของสำคัญได้นะ นี่ไง หยิบมาให้ดูซะเลย)

เพราะว่าเราอาจจะเข้าบ้านคนอื่นได้ (แล้วก็อาจจะผิดด้วย)

แต่มันก็อาจจะเป็นความผิดที่ไม่ชัดเจนไงครับ (ในมุมมองของผม บนสถานการณ์ในโลกทางวัตถุนะ)

จริงๆ จะเปลี่ยนเป็น... เอาสีสเปรย์ไปพ่นในห้องส่วนตัวของคนในบ้านก็ได้ ฯลฯ

แต่มันไม่ชัดเจนไงครับ หยิบของมาให้ดู มันดูชัดเจนกว่า

Gotji Wed, 21/08/2013 - 16:17

เปรียบเทียบได้ใกล้เคียงครับ แต่โดยส่วนตัวผมว่าอาจจะไม่ตรงไปนิดหนึ่งครับ
สำหรับความคิดของผมนะครับ สถานการณ์นี้มันจ่าจะเป็นประมาณนี้หรือเปล่าครับ

Facebook เป็นหมู่บ้าน โดยมีคุณมาร์คเป็นเจ้าของ แต่บ้านของคุณมาร์ค ก็ดันอยู่ในหมู่บ้านนี้ด้วยเช่นกัน แต่แล้ววันหนึ่ง ก็มีสมาชิกในหมู่บ้านคนหนึ่ง พบเจอว่ายามของหมู่บ้านมีความบกพร่อง ทำให้สมาชิกคนใดก็ได้ในหมู่บ้าน สามารถแอบเข้าไปทำอะไรบางอย่างในบ้านของคนอื่นๆ ได้ เมื่อสถานการณ์เป็นเช่นนี้ คนที่เห็นช่องโหว่ก็ย่อมกลัวที่จะตกเป็นเหยืื่อของช่องโหว่นี้เช่นกัน ดังนั้น จึงเลือกที่จะยื่นเรื่องต่อเจ้าหน้าที่หมู่บ้าน ว่าระบบยามของเรามีปัญหาตรงนี้นะ แต่เจ้าหน้าที่ดังกล่าวกลับไม่สนใจ พอมาถึงตรงนี้แล้ว คนๆ นี้อาจจะต้องการปกป้องสิทธิของตนเอง และสมาชิกคนอื่นๆ แต่ไม่รู้ว่าควรจะทำเช่นใด เลยอาศัยช่องโหว่ย่องเข้าไปในบ้านของเจ้ของหมู่บ้าน แล้วทิ้งโน้ต "ผมบอกแล้วว่าระบบคุณมีปัญหา ช่วยจัดการให้หน่อยนะ!!" ไว้ข้างใน

ซึ่งแน่นอน เมื่อเจ้าของหมู่บ้านทราบเรื่อง ถึงจะจัดการกับเจ้าหน้าที่และระบบยาม ไม่ให้ใครแทรกแซงใครได้อีกต่อไป

ย้ำอีกครั้ง ว่านี่เป็นความคิดของผมเท่านั้นนะครับ ^____^

heart Sun, 18/08/2013 - 23:15

เรียกก็คงเรียกมาคุย แต่ว่าคงไม่สามารถยกย่องคนแจ้ง bug ได้ ไม่งั้นในอนาคตใครอยากแจ้ง bug อีกก็จัดการบน fb ของ mark กันซะให้วุ่นเลย

Aoun Mon, 19/08/2013 - 00:31

ต้องยกย่องครับสำหรับ FBเขาคือHero มองมุมกลับถ้าเขาแอบไปใช้ให้เกิดความเสียหายจากหน้าวอลล์ของ Mark เช่นประกาศปิด FB ใครคือผู้เสียหายแล้วคิดว่ามากกว่า 500 USD กี่เท่า
โดยเหตุเพราะเขาแจ้งตามขั้นตอนแล้ว แต่ทีมดูแลไม่ตอบสนองเองแถมหน้าด้านไปBlogเขาอีก คงอ้างทำตามระบบ แต่ตอนเขาแจ้งดันไม่ทำในสิ่งที่ควรทำ เป็นผมหาตัวไล่ออกแล้ว

ปล. เรื่องจ่ายเงิน ผมว่าFBคงไม่ให้เป็นข่าวไม่งั้นคงไปฟ้องMarkท่าเดียวตามนั้น

tr Mon, 19/08/2013 - 02:32

ส่วนตัวผมมองว่าเขาไม่ได้ส่งไปแบบถูกวิธีเลยอดเงินครับ ถ้าถูกต้องคือต้องส่งวิธีการทำซ้ำให้ไปเลย ถ้าผู้พัฒนาสามารถทำซ้ำได้ก็มอบเงินรางวัลไปครับ แต่เอาจริงๆ ทางเฟซบุ๊กก็ควรจะถามกลับไปตรงๆ ว่าทำอะไรบ้าง ไม่ใช่ตอบกลับไปว่าอันนี้ไม่ใช่บั๊กนะ

Priesdelly Mon, 19/08/2013 - 09:30

ถ้าผมเป็น mark คงมีทีมวิศวกรคอหลุด สักคนสองคน
และมีผู้เชี่ยวชาญด้านความปลอดภัยจากปาเลสไตน์
เข้ามาเป็นที่ปรึกษาด้าน security เพิ่มอีกหนึ่งคน

#ฝันไป

HMage Mon, 19/08/2013 - 13:21

ผมว่าควรให้เงิน แต่ไม่ใช้ $500 ตามปกติ

Facebook ไม่ควรจ่ายเงินรางวัลตามปกติเพื่อไม่ให้เป็นเยี่ยงอย่างกับคนอื่นที่ต้องการร้องเรียนแต่ใช้ผิดช่องทางอีก ไม่งั้นต่อไปจะมีการเล่นนอกเกมแบบที่คนไทยเราก็รู้ว่ามันไม่ดีไม่ถูกต้อง และ Facebook ควรปรับปรุงระเบียบวิธีรายงานใหม่

แต่ก็ยังควรจะให้รางวัลอยู่ดีเพราะเป็นช่องโหว่ที่ร้ายแรงมาก จึงควรให้รางวัลด้วยช่องทางอื่น เช่น จ่ายในนาม Zuckerberg เป็นจำนวนแล้วแต่ศรัทธา

wiennat Mon, 19/08/2013 - 18:55

ที่เค้าไม่ได้เงินเพราะทีมของ fb บอกว่านาย Khalil ไม่ได้แจ้งว่า reproduce บักยังไง แค่บอกว่าทำได้ กับตัวอย่างที่ทำได้ซึ่งก็คือลองไปโพสท์ใส่วอลล์คนอื่นซึ่งละเมิดกฏการใช้งานของ fb แทนที่จะใช้ระบบ test account ที่ fb เตรียมไว้น่ะครับ

specimen Tue, 20/08/2013 - 21:59

ในเนื้อข่าวด้านบน บอกไว้ตามนี้ครับ

แต่ทางทีมกลับบอกว่า "นี่ไม่ใช่บั๊ก" แม้ Khalil ยินดีจะสาธิตการทำงานของบั๊กก็ตาม

อะไรเป็นข้อมูลที่ถูกต้องกันแน่

wiennat Tue, 20/08/2013 - 23:36

ตอนแรกเค้าไม่ได้ให้รายละเอียดที่มากพอ พนักงานเลยตอบไปว่านี่ไม่ใช่บักครับ

พอตอนหลังที่ไป post ที่หน้าวอลล์ของ MZ แล้วถึงได้ยอมรับว่าเป็นบั๊กครับ แต่ก็ถือว่า Khalil ละเมิด TOS อยู่ดี ก็เลยไม่จ่ายเงินครับ

PaPaSEK Wed, 21/08/2013 - 09:32

2 ครั้งเลยนะครับ สงสัยว่า 2 ครั้งนี่มันมีนัยยะสำคัญพอที่จะบอกว่า

  • Khalil พยายามมากพอหรือยัง
  • Security team ไม่ใส่ใจ