マーク・ザッカーバーグのウォール、ハックされる

マーク・ザッカーバーグのウォール、ハックされる 1

セキュリティチームがユーザーからのバグ報告を放置したために。

パレスチナの善意のハッカーKhalil氏は、Facebookにとある脆弱性を見つけたので、バグ報告用ページから報告をあげました。Facebookのバグ報告ページでは、善意のハッカーが大きな脆弱性を通報したときには最低500ドル(約4万9000円)の褒賞がもらえることになっています。Khalil氏が見つけた脆弱性は、それを利用すると友達でも何でもない赤の他人のウォールに投稿できてしまうというもので、十分その褒賞に値すると思われました。でもFacebook側は、その報告を軽くあしらって何も対処しないままでした。そこでKhalil氏は、友達でも何でもないFacebookのCEO・マーク・ザッカーバーグのウォールにそのセキュリティホールを指摘する書き込みをしたのです。

Khalil氏はそのブログで、彼のバグ報告からザッカーバーグのウォールへの書き込み、その後のFacebookの対応に至るまでを詳細に記しています。まず彼は、セキュリティホールについて報告しつつ、テスト的にハックしたページへのリンクも送りました。でもFacebookのセキュリティチームからは「そのリンクはエラーで開けないので、バグではない」という返信があったのみでした。リンクが開けない理由はそのページが友達以外非公開になっていたからだったので、Khalilさんはそれを説明し、ハックしたページを画面キャプチャしたものも送りました。それでもセキュリティチームは「バグではない」の一点張りでした。

そこでKhalil氏は「ザッカーバーグに直接報告します」と予告、そしてその予告通り、ザッカーバーグCEOのウォールに書き込んだのです。「まず、あなたのプライバシーを侵害してウォールに書き込んで済まない」と謝罪しつつ、セキュリティチームとのやり取りを記したページへのリンクを貼りました。

その後数分もするとFacebookのエンジニアがKhalil氏に連絡してきて情報を求め、さらに彼のアカウントを「念のため」ブロックしました。その間セキュリティチームがバグの修正をしていました。

Khalilさんのアカウントはその後復活しましたが、Facebookは彼に褒賞を与えませんでした。ザッカーバーグのウォールをハックしたことで、Facebookの利用規約を侵害しているからというのが理由です。Facebookは「バグを利用して実際のユーザーに影響を与える行為は、善意のハッカーとしては認められない。このケースでは、ハッカーが自分で見つけたバグを使って複数ユーザーのタイムラインにユーザーの了承なしでポストしていた」としています。ただしFacebookとしても、Khalil氏の情報提供に対してもっと真摯に対応していればよかったと反省はしているみたいです。また、Khalil氏に対しても「今後も脆弱性発見に協力してほしい」と言っていて、完全に悪者扱いではありません。

でももしKhalil氏がブチ切れてハック手法をこっそり公開していたら、マーク・ザッカーバーグだけじゃなくあらゆる人が被害にあってたんじゃないでしょうか。Facebookにも1日に何百件も報告が来て大変なのはわかりますが、中の人にはがんばってほしいですね…。

KhalilRTThe Verge

Lily Hay Newman(原文/miho)