Facebook有一个简单的规则,你必须是某人的Facebook好友,才能在他们的留言板上发帖。然而,早在2013年,一位安全研究员Khalil Shreatah就发现了一个漏洞,黑客可以在不成为好友的情况下在任何人的留念墙上发布任何东西。
哈利勒曾无数次尝试向脸书报告这个漏洞,但他得到的所有回应都是“这根本不是一个漏洞”。他最终选择在创始人的墙上发帖,让他们意识到这个问题。不幸的是,Facebook并不喜欢他的做法。
如果你报告安全漏洞和漏洞,许多公司会提供令人难以置信的奖励,但如果你不遵守报告规则,就绝对不会。同样的事情也发生在Khalil身上,他希望利用Mark的时间线获得奖励,只是为了通知公司这个漏洞。
哈利勒最初试图在萨拉·古德林(Sarah Goodlin)的留言板上报道这一事件,她是马克的大学朋友。负责处理该查询的Facebook安全人员并不是古德林的朋友。他无法访问这个链接,尽管通常他们可以绕过安全系统查看网站上的任何内容。当安全团队回应说:“我很抱歉,这不是一个漏洞。”哈利勒自己在扎克伯格的时间轴上发帖。
Facebook为报告安全漏洞的安全研究人员支付至少500美元的报酬,根据漏洞的严重程度,报酬可能会越高越好。唯一的条件是负责任地报告,而哈利勒没有做到。卡里尔已经失业两年多了,他非常希望能拿到这笔钱,因为他非常需要这笔钱。然而,他最终失望了,一个主要原因是安全团队无法理解这个漏洞。
观看视频,看看Khalil如何解释未经允许在别人的留言板上发帖的问题。
