By: mk 
on 18 August 2013 - 20:52
Tags:
Topics:
ผู้เชี่ยวชาญด้านความปลอดภัยจากปาเลสไตน์ชื่อ Khalil ค้นพบช่องโหว่ของ Facebook ที่ทำให้เราโพสต์ข้อมูลบนหน้าวอลล์ของผู้ใช้คนใดก็ได้ เขาแจ้งข้อมูลช่องโหว่นี้ไปยังทีมความปลอดภัยของ Facebook แต่ทางทีมกลับบอกว่า "นี่ไม่ใช่บั๊ก" แม้ Khalil ยินดีจะสาธิตการทำงานของบั๊กก็ตาม
Khalil ไม่มีทางเลือกอื่น เขาจึงใช้ช่องโหว่ที่ค้นพบนี้โพสต์ข้อมูลบนหน้าวอลล์ของ Mark Zuckerberg มันเสียเลย ในโพสต์ของ Khalil เริ่มจากการขอโทษ Zuckerberg ที่บุกรุกความเป็นส่วนตัว ก่อนจะรายงานปัญหาและอธิบายว่าเขาแจ้งผ่านทีมความปลอดภัยแล้วไม่ได้รับการตอบสนอง
หลังจากนั้นไม่กี่นาที Khalil ได้รับการติดต่อจากทีมวิศวกรของ Facebook ทันที บัญชีของเขาถูกบล็อคเพื่อป้องกันไม่ให้ก่ออันตรายแก่ผู้อื่นในระหว่างที่ทีมวิศวกรกำลังอุดช่องโหว่ และทางทีมความปลอดภัยก็ยอมรับว่าบั๊กนี้เป็นปัญหาช่องโหว่จริงๆ
อย่างไรก็ตาม Khalil ไม่ได้เงินรางวัล 500 ดอลลาร์เหมือนผู้แจ้งบั๊กความปลอดภัยรายอื่นๆ เพราะ Facebook ระบุว่าเขาละเมิดเงื่อนไขการใช้งานของระบบนั่นเอง
ที่มา - RT
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- Kubernetes คืออะไร [Part 1] เกิดขึ้นมาอย่างไร? ทำไมต้องใช้มัน? | Cloudnone EP.14
- CI/CD ยังไงดี ตั้งเซิร์ฟเวอร์เอง vs เช่าคลาวด์ | Cloudnone EP.13
- รู้จักโน้ตบุ๊กบนคลาวด์ เช่าใช้งาน Jupyter Notebook ที่ไหนดี | Cloudnone Ep.12
- สรุปข่าวใหญ่ปี 23 และคาดการณ์เทรนด์ปี 24 ในวงการ Cloud | Cloudnone EP.11
- สรุปของใหม่และสาระสำคัญจาก AWS re:Invent 2023 | Cloudnone Special EP
Comments
(- -")
เงีบด้วยคน (- -")
ສະບາຍດີ :)
(- -") ด้วยคน.....
ขอ (- -") ต่อ
(--")...
"( - -) (- - )"
บล็อกส่วนตัวที่อัพเดตตามอารมณ์และความขยัน :P
(. ) (. )
O_o!
(><')
อื้มมม.... พี่ครับ... บ้านพี่ หน้าต่างมันไม่ดี ขโมยเข้าได้ครับ!!
อ๋อน้อง ไม่ใช่มันไม่ดีน้อง มันเป็นแบบนี้แหละ! ปกติ!!
(เข้าไปขโมยของชั้นบน แล้วเดินลงบันไดมาข้างล่าง ที่คนอยู่กันเต็ม)
แล้วบอกว่า ขอโทษนะครับ ที่เข้ามาโดยพละการ และหยิบของติดมาชิ้นนึง
เพราะอยากให้ทุกคนรู้ว่า... บ้านมันไม่ปลอดภัยครับ!!
^___^
// ผมอาจจะคิดผิดก็ได้นะ
ผิดตรงหยิบของเนี่ยแหละ =___=
ສະບາຍດີ :)
ผมว่ามันน่าจะเป็น
มีป้ายติดหน้าบ้าน บอกว่าถ้าพบช่องโหว่ให้แจ้งด้วย มีรางวัลให้
นายเอ - พี่ครับ บ้านนี้หน้าต่างมันไม่ดีนะ ขโมยเข้าได้ครับ
คนสวน - อ๋อน้อง ไม่ใช่มันไม่ดีน้อง มันเป็นแบบนี้แหละ ปกติ
นายเอ - มันอันตรายจริง ๆ นะครับ เนี่ย เดี๋ยวผมเข้าให้ดู
คนสวน - ไม่ต้องหรอกน้อง ไปไหนก็ไป
(ใช้เทคนิคเข้าทางหน้าต่าง แล้วเดินไปสะกิดเจ้าของบ้าน)
นายเอ - ขอโทษครับพี่ บลา บลา บลา
คนสวนเดินมากระชากคอลากออกจากบ้าน บอกว่าทำแบบนี้ได้ยังไง พร้อมกับถีบหัวส่งโดยไม่ให้เงินรางวัล
+1
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
5555
ได้ฟิลลิ่งจริงๆ!!
ผมเขียนผิดน่ะครับ เรื่องเป็นขโมย
พอจะแก้ แก้ไม่ทันละ 555
เห็นภาพเบย >.<
+1 ชัดเจนครับ
A smooth sea never made a skillful sailor.
+1
เทียบบ้านกับเว็บโซเชี่ยล? มันก็คล้ายนะ แต่ผมว่ามันจะไปบิดประเด็นน่ะ
ครับ ผมบอกแล้วว่าอาจจะคิดผิดก็ได้
แต่ว่าอยากได้ฟังจากคุณน่ะครับ ว่าคุณเห็น หรือคิดว่ายังไงบ้าง
ไม่อยากอ่านแค่ว่า มันจะไปบิดประเด็น...
ไม่ได้กวนอะไรนะครับ ความเห็นแบบนี้ ผมไม่ค่อยได้อะไรเท่าไหร่!!
+1 ชอบข้อความ "ความเห็นแบบนี้ ไม่ค่อยได้อะไรเท่าไหร่" ครับ
ผมว่าตัวอย่างไม่ตรงครับ
เพราะจากข่าวผิดที่ละเมิดครับ
กรณีหน้าต่างคุณ ผิดที่เข้าบ้านไม่ได้หยิบของแต่อย่างใด
เข้าไปบ้านคนอื่นโดยเจ้าของไม่อนุญาตนี่ไม่เรียกละเมิดเหรอครับ
Opensource - Hackintosh - Graphic Design - Scriptkiddie - Xenlism Project
ละ้เมิดต่อสิทธิความเป็นอยู่ส่วนบุคคล
A smooth sea never made a skillful sailor.
ตีความผิดแล้วอย่ามาต่อเลยครับ
ผมหมายถึงมันผิดตั้งแต่เข้าบ้านคนอื่นแล้ว
แต่คนตั้งตัวอย่างบอกว่าผิดที่หยิบของ
เหมือนไปรุกล้ำwallคนอื่น แค่ไปโพสต์ก็ผิดแล้ว แม้จะเข้าไปชื่นชม
เหมือนคนแอบเข้าบ้านเอาของขวัญไปวางให้
แม้จะให้ของแต่เข้าบ้านเค้าก็ผิดแล้ว
//มาอ่านอีกทีผมพิมพ์ข้างบนไม่ชัดเจนนะแหละ จิ้มจากมือถือเลยพิมพ์สั้นๆ
//ผิดที่ผมเอง
ในตัวอย่างนั้น ผมหมายถึง ผิดตั้งแต่แอบเข้าแล้วล่ะครับ
แต่ยกกรณีหยิบของมาด้วย ให้มันดูเกินขึ้นมา
เพราะอะไร... (แจ้งก่อนว่าผมพิมพ์ผิดเรื่องขโมย คือเจตนาไม่ใช่การขโมยของ
แต่เป็นการหยิบของออกมาเพื่อให้ดูว่า เราเข้าถึงของสำคัญได้นะ นี่ไง หยิบมาให้ดูซะเลย)
เพราะว่าเราอาจจะเข้าบ้านคนอื่นได้ (แล้วก็อาจจะผิดด้วย)
แต่มันก็อาจจะเป็นความผิดที่ไม่ชัดเจนไงครับ (ในมุมมองของผม บนสถานการณ์ในโลกทางวัตถุนะ)
จริงๆ จะเปลี่ยนเป็น... เอาสีสเปรย์ไปพ่นในห้องส่วนตัวของคนในบ้านก็ได้ ฯลฯ
แต่มันไม่ชัดเจนไงครับ หยิบของมาให้ดู มันดูชัดเจนกว่า
เปรียบเทียบได้ใกล้เคียงครับ แต่โดยส่วนตัวผมว่าอาจจะไม่ตรงไปนิดหนึ่งครับ
สำหรับความคิดของผมนะครับ สถานการณ์นี้มันจ่าจะเป็นประมาณนี้หรือเปล่าครับ
Facebook เป็นหมู่บ้าน โดยมีคุณมาร์คเป็นเจ้าของ แต่บ้านของคุณมาร์ค ก็ดันอยู่ในหมู่บ้านนี้ด้วยเช่นกัน แต่แล้ววันหนึ่ง ก็มีสมาชิกในหมู่บ้านคนหนึ่ง พบเจอว่ายามของหมู่บ้านมีความบกพร่อง ทำให้สมาชิกคนใดก็ได้ในหมู่บ้าน สามารถแอบเข้าไปทำอะไรบางอย่างในบ้านของคนอื่นๆ ได้ เมื่อสถานการณ์เป็นเช่นนี้ คนที่เห็นช่องโหว่ก็ย่อมกลัวที่จะตกเป็นเหยืื่อของช่องโหว่นี้เช่นกัน ดังนั้น จึงเลือกที่จะยื่นเรื่องต่อเจ้าหน้าที่หมู่บ้าน ว่าระบบยามของเรามีปัญหาตรงนี้นะ แต่เจ้าหน้าที่ดังกล่าวกลับไม่สนใจ พอมาถึงตรงนี้แล้ว คนๆ นี้อาจจะต้องการปกป้องสิทธิของตนเอง และสมาชิกคนอื่นๆ แต่ไม่รู้ว่าควรจะทำเช่นใด เลยอาศัยช่องโหว่ย่องเข้าไปในบ้านของเจ้ของหมู่บ้าน แล้วทิ้งโน้ต "ผมบอกแล้วว่าระบบคุณมีปัญหา ช่วยจัดการให้หน่อยนะ!!" ไว้ข้างใน
ซึ่งแน่นอน เมื่อเจ้าของหมู่บ้านทราบเรื่อง ถึงจะจัดการกับเจ้าหน้าที่และระบบยาม ไม่ให้ใครแทรกแซงใครได้อีกต่อไป
ย้ำอีกครั้ง ว่านี่เป็นความคิดของผมเท่านั้นนะครับ ^____^
อะไรเนี่ย =_=
Coder | Designer | Thinker | Blogger
5555555 เงิบ ดีไม่ดีโดนไล่ออกทั้งทีม
มีภาพแคปตอนที่เค้าแฮคเฟสซัคเคอร์เบิร์กไหมครับ
กดที่มาดูครับมีถึงขั้นตอนการทำเลย แต่โพสใส่คนอื่น
ลบ
เจ๋งว่ะแจ้งลูกน้องแม่มไม่สนใจ ตรูแฮกไปโพสหน้าเจ้านายมันเลย ทีนี้รีบแจ๋นแก้กันใหญ่ไอ้พวกขี้เกียจ!!!
ถ้าผมเป็น Mark คงเรียกทีมงานมาอบรมซะหน่อยละ
ใช่แล้วครับ เกือบเสียหน้ากับระบบเสียเงินโพสของ FB ซะแล้วครับ
กด+1 หรือ กด like ดีนี่
ถ้าช่องโหว่นี้ไม่ถูกแก้ไข ผมว่าfacebook หุ้นตกหนักกว่านี้อีกครับ
บล็อก: wannaphong.com และ Python 3
กด +1 ดีกว่า เพราะ fb มี bug พรุนสกัดกับ g+ แล้วครับ
เรียกก็คงเรียกมาคุย แต่ว่าคงไม่สามารถยกย่องคนแจ้ง bug ได้ ไม่งั้นในอนาคตใครอยากแจ้ง bug อีกก็จัดการบน fb ของ mark กันซะให้วุ่นเลย
ต้องยกย่องครับสำหรับ FBเขาคือHero มองมุมกลับถ้าเขาแอบไปใช้ให้เกิดความเสียหายจากหน้าวอลล์ของ Mark เช่นประกาศปิด FB ใครคือผู้เสียหายแล้วคิดว่ามากกว่า 500 USD กี่เท่า
โดยเหตุเพราะเขาแจ้งตามขั้นตอนแล้ว แต่ทีมดูแลไม่ตอบสนองเองแถมหน้าด้านไปBlogเขาอีก คงอ้างทำตามระบบ แต่ตอนเขาแจ้งดันไม่ทำในสิ่งที่ควรทำ เป็นผมหาตัวไล่ออกแล้ว
ปล. เรื่องจ่ายเงิน ผมว่าFBคงไม่ให้เป็นข่าวไม่งั้นคงไปฟ้องMarkท่าเดียวตามนั้น
Blockน่าจะเขียนแบบนี้นะ ความหมายประมาณว่ากีดกัน นะครับ
ครับ ไวไปนิด
น่าให้เงินรางวัลเลยนะครับ ลูกน้องก็น่าด่าจริงๆ -"-
อารมเดียวกับหลายๆบริการในไทย ต่างกันตรงที่ พี่ไทย ลูกน้องไม่รู้เรื่อง เจ้าของก็ไม่แคร์
ควรให้เงิน !!
เรียกว่าถ้าจะเอาให้ดังต้องตี Boss เลย
ควรหักเงินทีมความปลอดภัยนั่น แล้วเอาเงินมาเบิ้ลให้หมอนี่นะ
+1
+1
ถูกใจครับ
จ้างเลยดีกว่า ดูจะมีอนาคตกว่าพวกทีมงาน
เอาเงินเดือนพนักงานไปให้เขาดีมั้ย
งี่เง่านะที่ไม่ให้รางวัลเขา เพราะเขาก็บอกอยู่ว่าแจ้ง แล้วแต่ไม่มีคนสนใจ
+1
เดี๋ยวนี้ใครๆ EVIL มันเป็นเทรนใหม่หรือครับ -_-*
ผมว่า facebook น่าเกลียดมากที่ไม่ให้เงินเค้า
ส่วนตัวผมมองว่าเขาไม่ได้ส่งไปแบบถูกวิธีเลยอดเงินครับ ถ้าถูกต้องคือต้องส่งวิธีการทำซ้ำให้ไปเลย ถ้าผู้พัฒนาสามารถทำซ้ำได้ก็มอบเงินรางวัลไปครับ แต่เอาจริงๆ ทางเฟซบุ๊กก็ควรจะถามกลับไปตรงๆ ว่าทำอะไรบ้าง ไม่ใช่ตอบกลับไปว่าอันนี้ไม่ใช่บั๊กนะ
เมื่อกี้ผมลองทำดู ใช้ไม่ได้แล้ว
Opensource - Hackintosh - Graphic Design - Scriptkiddie - Xenlism Project
ไม่ได้จริงๆ ด้วย แต่เป็นบั๊กที่คาดไม่ถึงจริงๆ เดี๋ยวต้องไล่แบบฟอร์มอันอื่นดู LOL
มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB
ถ้าผมเป็น mark คงมีทีมวิศวกรคอหลุด สักคนสองคน
และมีผู้เชี่ยวชาญด้านความปลอดภัยจากปาเลสไตน์
เข้ามาเป็นที่ปรึกษาด้าน security เพิ่มอีกหนึ่งคน
ฝันไป
หรือนี่เป็นแผนของ Facebook ที่จะได้ประหยัดเงิน $500
ผมว่าควรให้เงิน แต่ไม่ใช้ $500 ตามปกติ
Facebook ไม่ควรจ่ายเงินรางวัลตามปกติเพื่อไม่ให้เป็นเยี่ยงอย่างกับคนอื่นที่ต้องการร้องเรียนแต่ใช้ผิดช่องทางอีก ไม่งั้นต่อไปจะมีการเล่นนอกเกมแบบที่คนไทยเราก็รู้ว่ามันไม่ดีไม่ถูกต้อง และ Facebook ควรปรับปรุงระเบียบวิธีรายงานใหม่
แต่ก็ยังควรจะให้รางวัลอยู่ดีเพราะเป็นช่องโหว่ที่ร้ายแรงมาก จึงควรให้รางวัลด้วยช่องทางอื่น เช่น จ่ายในนาม Zuckerberg เป็นจำนวนแล้วแต่ศรัทธา
+1
จ่ายแบบ humblebundle สินะครับ
จ่ายมากกว่าค่าเฉลี่ยเดี๋ยวมีของแถม ^____^
แต่เค้าร้องเรียนแบบถูกช่องทางมาแล้วนี่ครับ........ หรือควรจะเมินเฉยไปเลย.......
ที่เค้าไม่ได้เงินเพราะทีมของ fb บอกว่านาย Khalil ไม่ได้แจ้งว่า reproduce บักยังไง แค่บอกว่าทำได้ กับตัวอย่างที่ทำได้ซึ่งก็คือลองไปโพสท์ใส่วอลล์คนอื่นซึ่งละเมิดกฏการใช้งานของ fb แทนที่จะใช้ระบบ test account ที่ fb เตรียมไว้น่ะครับ
onedd.net
ถ้าแบบนั้นก็สมควรแล้วครับ ตอนนี้ตัวตัดสินคงอยู่กับว่าติดต่อทีมงานเค้าท่าไหนมากกว่า
ในเนื้อข่าวด้านบน บอกไว้ตามนี้ครับ
แต่ทางทีมกลับบอกว่า "นี่ไม่ใช่บั๊ก" แม้ Khalil ยินดีจะสาธิตการทำงานของบั๊กก็ตาม
อะไรเป็นข้อมูลที่ถูกต้องกันแน่
ตอนแรกเค้าไม่ได้ให้รายละเอียดที่มากพอ พนักงานเลยตอบไปว่านี่ไม่ใช่บักครับ
พอตอนหลังที่ไป post ที่หน้าวอลล์ของ MZ แล้วถึงได้ยอมรับว่าเป็นบั๊กครับ แต่ก็ถือว่า Khalil ละเมิด TOS อยู่ดี ก็เลยไม่จ่ายเงินครับ
onedd.net
2 ครั้งเลยนะครับ สงสัยว่า 2 ครั้งนี่มันมีนัยยะสำคัญพอที่จะบอกว่า