ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

Facebookのバグ発見者、ザッカーバーグCEOのタイムラインを使って報告

» 2013年08月20日 07時26分 公開
[鈴木聖子,ITmedia]

 Facebookのタイムラインに他人がコメントを投稿できてしまう問題を見つけた研究者が、同社のマーク・ザッカーバーグ最高経営責任者(CEO)のタイムラインにリンクを投稿して対応を促した。これを受けてFacebookは問題を修正したものの、「他人のアカウントを許可なく利用した」としてこの研究者を批判している。

 問題を発見したのはパレスチナの研究者Khalil Shreateh氏。同氏のブログによれば、脆弱性報告ページ「Whitehat」を通じてFacebookに問題を報告し、友人ではないユーザーのタイムラインにリンクを投稿して見せた。しかしFacebookからは「残念ながらこれはバグではありません」という簡単な返事が返ってきただけだったという。

ザッカーバーグCEOのタイムラインにコメントした様子(Shreateh氏のブログより)

 そこで同氏はやむを得ず、ザッカーバーグCEOのタイムラインにコメントを投稿。「プライバシーを侵害して申し訳ありません」と断ったうえで、それまでの経過を報告し、Facebookのセキュリティチームとのメールのやり取りを記載したページへのリンクも添えた。

 ところがその直後にShreateh氏のFacebookアカウントは無効にされた。同氏の求めに応じて間もなくアカウントは復旧したものの、問題の報告についてFacebookからは「あなたのWhitehatへの報告には、私たちが行動を起こすに十分な技術情報が含まれていませんでした。あなたの行動は規定に違反しているため、賞金はお支払いできません」との返信が返ってきたという。

 Facebookのセキュリティ担当者はこの経緯について、Hacker Newsの掲示板サイトで報告した。Shreateh氏に指摘された問題は8月15日に修正したとしたうえで、「最初に報告された時点で追加の情報を求めるべきだった」とFacebook側の対応にも問題があったことを認めている。

 一方で、Shreateh氏の報告はFacebookの規定に違反していたなどと主張。「バグを実証するために、実在する人物のアカウントを本人の許可なく利用したことに問題がある」と述べ、こうした問題の実証にはテスト用のアカウントを設定して利用するよう、研究者に促している。

Copyright © ITmedia, Inc. All Rights Reserved.