PR
写真●Shreateh氏が脆弱性報告を書き込んだZuckerberg氏のタイムライン
写真●Shreateh氏が脆弱性報告を書き込んだZuckerberg氏のタイムライン
[画像のクリックで拡大表示]

 パレスチナのIT研究者が米FacebookのMark Zuckerberg最高経営責任者(CEO)のウオールにバグ報告を直接書き込んだことを、複数の米メディア(VentureBeatPCMag.comなど)が現地時間2013年8月18日に報じた。同研究者は、Facebookのセキュリティチームに脆弱性を報告したが無視されたので、証明のためにやむなく実行したとしている。

 Zuckerberg氏のウオールに投稿したKhalil Shreateh氏は、自身のブログでこの件について詳しく説明している。同氏は、たとえ友達承認されていなくても別のFacebookユーザーのウオールに投稿できてしまう深刻な脆弱性をFacebook上に発見し、Facebookのホワイトハットプログラムを通じて報告した。しかし電子メールで説明を繰り返したのち、8月14日にFacebookのセキュリティチームから「これはバグではない」との回答を受け取った。

 そこでShreateh氏はZuckerberg氏のタイムラインに直接アクセスし、問題の脆弱性の報告を書き込んだ(写真)。すると数分後に、Facebookのセキュリティエンジニアから、脆弱性に関する詳細を教えてほしいとのコメントが寄せられたという。

 ところがShreateh氏はアカウントを一時凍結され、脆弱性発見に対する報奨金は支払わないとの連絡をFacebookから受け取った。Facebookは、Shreateh氏が最初にホワイトハットプログラムを通じて送った報告は情報が不十分であったこと、その後の脆弱性報告のやり方がサービス利用規約に違反していることなどを指摘しているという。

 米CNET News.comの報道によると、Facebookは問題の脆弱性を8月15日に修正済みであることをITニュースサイト「Hacker News」で発表した。また、最初の報告を受け取った際に、より詳しい情報をShreateh氏に求めるべきだったと認めている。