安全: 安全研究員與Facebook爭論Instagram漏洞披露

FB

【博聞社】安全研究員Wesley Wineberg發表了一篇博客,描述了他參加Facebook Bug懸賞項目的經歷:他在Facebook子公司Instagram的系統中發現了三個嚴重漏洞,利用漏洞他能獲取Instagram的源代碼、SSL證書和託管雲服務商亞馬遜的AWS私鑰,能不受限制的訪問Instagram僱員和任意用戶的賬號。

但他的行為被Facebook指責侵犯用戶隱私,威脅對他採取法律行動。

Wineberg是根據Instagram使用的開源軟體Sensu-Admin,從源代碼找到硬編碼的秘密令牌,發現Instagram的伺服器存在相同問題後成功入侵的。他下載了加密的Instagram僱員密碼,破解後發現該公司僱員使用了弱密碼:6個人的密碼是changeme,3個人的密碼與用戶名相同,2個人的密碼是password,還有1個人是instagram。

他報告的第一個漏洞收到了2500美元賞金,但後續漏洞披露遭到了Facebook的指責,稱他未經授權獲取僱員數據和用戶數據的做法不當。

Wineberg堅持認為他遵守了 Bug懸賞的規則。Facebook直接通知了Wineberg的僱主,上司就此事打電話給他讓他倍感震驚。

Add a Comment

發佈留言必須填寫的電子郵件地址不會公開。