Selama ini kita tahu, bahwa kita mengatur privasi profil Facebook agar hanya rekan atau keluarga anda yang dapat dinding/timeline atau bahkan profilnya. Jika ini dilakukan maka seorang yang belum kita setujui "Approval" pertemanannya tidak akan bisa memposting sebuah pesan ke dinding/timeline anda. Namun, lain cerita dengan yang dilakukan Khalil Sreateh, pakar pengamat keamanan ICT. Dia telah merilis sebuah bug Facebook yaitu menuliskan sebuah pesan pada dinding yang belum menjalin pertemanan. Tak tanggung-tanggung, vulnerability tersebut langsung dikirimkan ke timeline pendiri Facebook, sang milyader muda Mark Zuckerberg.
Untuk meyakinkan tim keamanan Facebook tentang eksistensi bug tersebut, Khalil melampirkan beberapa screenshot tentang demo "Hacking" nya yang memposting sebuah pesan pada dinding milik teman semasa Mark kuliah dulu, Sarah Goodin. Namun sayang, tim keamanan Facebook belum juga bertindak.
Dalam suratnya dia menautkan sebuah link yang berisi posting miliknya di dinding milik Sarah. Tim keamanan Facebook malah mengira bahwa link yang dia berikan tidak lagi ada.
Tentu saja begitu, karena mungkin tim kemanan Facebook tidak menjalin pertemanan pada Sarah Goodin. Sarah hanya menshare semua timeline nya pada orang yang terkait dengan dirinya saja.
Khalil mengakui bahwa dia telah melaporkan bug tersebut dau kali kepada pihak keamanan Facebook melalui White Hat Reporting Service, namun mereka tidak menghiraukannya dan berkata bahwa bug tersebut tidak pernah ada. Aneh memang, sebenarnya Khalil berniat baik melaporkan hal tersebut. Bisa saja dia menjualnya atau bahkan dia gunakan untuk keuntungan dirinya sendiri. Maka akhirnya dia membuktikan sendiri dengan cara memposting bug tersebut pada timeline sang pendiri secara langsung.
Kepanikan baru terjadi ketika tim menyadari akan posting milik Khalil. Email berdatangan pada inbox Khalil tentang bug tersebut.
Dengan alasan tidak rasional, tim keamanan Facebook menonaktifkan Facebook milik Khalil dan tidak bersedia membayar bug bounty sebesar $500 karena telah melanggar Terms of Service dari layanan bug bounty tersebut. Tapi akhirnya, tim keamanan Facebook mengembalikan akun Khalil dan memberikan uang "jerih payah" nya itu. Tim keamanan Facebook juga menyarankan Khalil agar tetap mengeksplorasi keamanan Facebook dan segera melaporkannya jika menemukan bug.
Dia menjabarkan seluruh detil kegiatan pelaporan dan kontak dengan tim keamanan Facebook pada blog pribadinya. Dia juga menjelaskan bagaimana mengeksploitasi bug tersebut melalui video.
Tidak ada komentar:
Posting Komentar
Terima kasih telah berkunjung.