Reginaldo Silva นักวิจัยความปลอดภัยคอมพิวเตอร์ ผู้ค้นพบบั๊กในโมดูล OpenID ของ Drupal เมื่อปี 2012 รายงานบั๊กในระบบ OpenID ของเฟซบุ๊ก ทำให้ผู้ใช้สามารถรันคำสั่งใดๆ ก็ได้บนเซิร์ฟเวอร์ของเฟซบุ๊ก (remote code execution) จากระดับความร้ายแรงของบั๊กทำให้เขาได้รับเงินรางวัล ถึง 33,500 ดอลลาร์ หรือประมาณหนึ่งล้านบาท
ทีมวิศวกรของเฟซบุ๊กแก้ปัญหานี้ภายในเวลาไม่กี่ชั่วโ มงหลังได้รับรายงาน โดย Silva บันทึกเวลาของการรายงานบั๊กนี้ทั้งหมดไว้ เมื่อวันที่ 19 พฤศจิกายนที่ผ่านมา เขารายงานบั๊กไปยังเฟซบุ๊กครั้งแรกและเกือบสองชั่วโม งต่อมาเฟซบุ๊กก็ติดต่อกลับมาซึ่งทาง Silva ส่งตัวอย่างการโจมตีไปให้ภายในสิบนาที ทีมงานแก้ปัญหาภายในสองชั่วโมงและตอบมาว่ากำลังนำขึ้ นระบบจริงภายในครึ่งชั่วโมง
กระบวนการที่ช้าคือการพิจารณาเงินรางวัล เฟซบุ๊กใช้เวลากว่าหนึ่งเดือนในการพิจารณาความร้ายแร งของปัญหา และตัดสินใจจัดเป็นบั๊กที่มีโอกาสจะเป็นบั๊ก remote code execution (RCE) โดยไม่ยอมรับว่าเป็นบั๊ก RCE ตรงๆ
ที่มา - Facebook, The Hacker News, Ubercomb
Security, Facebook




อ่านต่อ...