Nếu tìm thấy lỗi bảo mật trên một sản phẩm công nghệ và đã báo cáo lên công ty chủ quản nhưng vẫn bị phớt lờ, hãy sử dụng chính lỗi bảo mật đó để tấn công vào chính sản phẩm của nhà sáng lập công cụ đó, chắc hẳn lời cảnh báo sẽ trở nên có giá trị hơn rất nhiều lần. Và đây chính là cách mà một chuyên gia bảo mật người Palestine vừa thực hiện với mạng xã hội Facebook.
Theo đó, Khalil Shreateh, một lập trình viên và là một hacker người Palestine, đã phát hiện một lỗ hổng trên Facebook cho phép người dùng có thể vượt qua thiết lập riêng tư để có thể đăng nội dung lên tường của bất kỳ người dùng khác, ngay cả khi 2 người không phải là bạn bè của nhau.
Shreateh đầu tiên đã báo cáo lỗ hổng bảo mật này đến Facebook bằng email thông qua chương trình treo thưởng cho các lỗ hổng bảo mật được phát hiện ra do Facebook thực hiện, tuy nhiên báo cáo của Shreateh không được Facebook ghi nhận.
Tuy nhiên, sau đó Shreateh đã khai thác thành công lỗ hổng bảo mật của mình bằng cách thử đăng tải một đoạn nội dung lên tường của Sarah Goodin, một người học chung đại học với nhà sáng lập Mark Zuckerberg của Facebook. Sau đó Shreateh lại gửi email đến cho Facebook, kèm theo đường link để chứng minh.
Nội dung được Shreateh đăng tải lên trang cá nhân của Mark Zuckerberg, dù 2 người không phải là bạn bè của nhau
Một nhân viên bảo mật của Facebook, chỉ được biến đến với tên gọi Emrakul, người đã nhận email của Shreateh gửi đến, đã không thể xem được nội dung do Shreateh đăng tải vì chưa kết bạn với Goodin trên Facebook.
Phản hồi lại ý kiến của Emrakul, Shreateh khẳng định rằng mình có thể post nội dung lên trang cá nhân của Mark Zuckerberg nếu mình muốn, và cho biết mình “chưa làm điều này vì tôn trọng quyền riêng tư của mọi người”. Tuy nhiên, email này của Shreateh lại bị phía Facebook phớt lờ.
Shreateh sau đó tiếp tục sự kiên trì của mình khi báo cáo lỗ hổng trên thêm một lần nữa, tuy nhiên lần này Emrakul đã trả lời email với nội dung: “Tôi xin lỗi, nhưng đây không phải là một lỗi của Facebook”. Shreateh sau đó đã phản hồi email của Emrakul và cho biết: “Được, điều này có nghĩa rằng tôi không còn cách nào khác hơn là báo cáo lên Mark trực tiếp trên Facebook của anh ấy”.
Và quả nhiên, Shreateh đã thực sự làm điều mà mình nói bằng cách cho đăng tải một nội dung lên trang cá nhân của Mark Zuckerberg, mặc dù bản thân Shreateh và Zuckerberg chưa phải là bạn bè của nhau trên Facebook.
Nội dung đăng tải của Shreateh trên trang cá nhân của Mark Zuckerberg đã gây được sự chú ý của Okelola, một kỹ sư bảo mật khác của Facebook. Okelola sau đó đã đăng nhận xét về nội dung mà Shreateh đăng tải trên Facebook của Zuckerberg và đề nghị Shreateh cung cấp thêm thông tin về lỗi.
Sau một cuộc thảo luận ngắn gọn, tài khoản Facebook của Shreateh đã bất ngờ bị khóa “như một biện pháp phòng ngừa”, còn bài đăng của Shreateh trên trang cá nhân của Mark Zuckerberg cũng đã bị xóa bỏ.
“Thật tiếc báo cáo của bạn đối với đội ngũ bảo mật của chúng tôi không cung cấp đủ thông tin về kỹ thuật để chúng tôi có biện pháp phù hợp”, Joshua, một chuyên gia bảo mật khác của Facebook cho biết trong email giải thích lý do tài khoản Shreateh bị khóa. “Chúng tôi không thể phản hồi các báo cáo không chứa đủ thông tin để chúng tôi phát hiện vấn đề”.
Đồng thời phía Facebook cho biết sẽ không trả cho Shreateh số tiền thưởng do anh này phát hiện ra lỗ hổng bảo mật trên Facebook vì “vi phạm điều khoản sử dụng” của mạng xã hội này. Theo đó, Shreateh đã vi phạm quyền sử dụng của Facebook khi dùng lỗ hổng bảo mật để tấn công vào tài khoản người dùng khác mà không được sự cho phép của họ.
Hiện lỗ hổng bảo mật do Shreateh phát hiện đã được Facebook khác phục, tuy nhiên tài khoản của Shreateh vẫn chưa được phục hồi.
Cách xử sự của Facebook đã lập tức gây nên một làn sóng phản đối trong cộng đồng công nghệ, khi cho rằng Shreateh xứng đáng nhận được tiền thưởng từ phía Facebook, thay vì không được gì và mất luôn tài khoản của mình. Nhiều người cho rằng chính Facebook mới là bên chịu trách nhiệm vì đã phớt lờ các cảnh báo được đưa ra.
Hiện Facebook từ chối bình luận thêm về vụ việc.
Theo Phạm Thế Quang Huy (Dân trí)