facebook支付了15000美元来关闭一个可以解锁任何用户帐户的漏洞

上个月,一位名叫阿南德普拉卡什(anandprakash)的安全研究员偶然发现了Facebook账户安全的一个重大漏洞。当账户被重置时,Facebook会向用户的手机发送一个6位数的PIN,在账户被重置时使用该PIN作为临时密码。不过,虽然Facebook通常会在十到十二次错误猜测后切断你的联系,但Prakash注意到,beta.Facebook.com上缺少这些保护措施,因为开发人员通常会在be...

上个月,一位名叫阿南德普拉卡什(anandprakash)的安全研究员偶然发现了Facebook账户安全的一个重大漏洞。当账户被重置时,Facebook会向用户的**发送一个6位数的PIN,在账户被重置时使用该PIN作为临时密码。不过,虽然Facebook通常会在十到十二次错误猜测后切断你的联系,但Prakash注意到,beta.Facebook.com上缺少这些保护措施,因为开发人员通常会在beta.Facebook.com上部署尚未准备好的新功能。但是,由于每个Facebook账户都可以在beta.Facebook.com上使用,由此产生的漏洞让他在页面上充斥着PIN猜测,有效地让他打入任何他想要的账户。

007Ys3FFgy1gq5fjgsjx3j30sc0isnb2

这个bug是几天前部署到beta页面的一个更改的结果,在被Prakash发现之前似乎没有被广泛利用。尽管如此,这仍然是一个严重的安全问题,而且正是bug赏金要解决的攻击类型。Prakash通过Facebook的报告漏洞页面发送了这个漏洞,第二天,该公司证实已经修复。8天后,Facebook奖励他1.5万美元,因为他报道了这个问题。

对于一个相对简单的bug来说,这是一个很高的回报,但和许多公司一样,Facebook的bug奖金是根据风险而不仅仅是复杂性来估价的(Facebook的White-Hat页面说,支付是“基于风险、影响和其他因素”。)如果Prakash发现的改变被部署到Facebook.com,它可能会引发广泛的用户攻击,使这成为研究人员可能发现的更危险的漏洞之一。

Facebook在一份声明中说:“bug赏金计划最有价值的好处之一就是能够在问题出现之前就发现问题。”我们很高兴表彰和奖励阿南德的出色报告,“自2011年虫子悬赏计划开始以来,Facebook已经向800多名研究人员支付了430多万美元的奖金。

  • 发表于 2021-05-03 18:46
  • 阅读 ( 131 )
  • 分类:互联网

你可能感兴趣的文章

立即卸载!5款存在重大安全漏洞的热门应用

... 更糟糕的是,Hola正在以“Luminati”的名义以每千兆字节20美元的价格**出口节点带宽(即您的计算机)的访问权。公司正从您的不安全感中获利。 ...

  • 发布于 2021-03-15 04:50
  • 阅读 ( 174 )

如何查看facebook个人资料

在Facebook的早期,用户在网上发布各种各样的个人和私人数据。事后看来,我们都是绿色的,但这并不像是一个隐私问题等待发生。 ...

  • 发布于 2021-03-17 23:07
  • 阅读 ( 241 )

5000万facebook账户遭黑客攻击:你该怎么办?

... 15000万facebook账户遭黑客攻击 ...

  • 发布于 2021-03-23 10:02
  • 阅读 ( 286 )

保持你的文莫账户安全的11个小贴士

...有什么比保证你的财务账户安全更重要的了。PayPal的移动支付服务Venmo过去曾因安全问题受到批评。毕竟,它默认的事务公共提要并不适合大多数用户。 ...

  • 发布于 2021-03-24 03:41
  • 阅读 ( 264 )

什么是格雷基?破解iphone加密和密码的工具

...。还要注意的是,当时Cellebrite服务每台设备的费用为5000美元,**必须送到他们的安全设施。 ...

  • 发布于 2021-03-24 10:02
  • 阅读 ( 193 )

如何保护bitlocker加密文件免受攻击者攻击

...或启动PC上的其他操作系统来访问您的文件。 解决方案:支付99美元升级到Windows10Professional并启用BitLocker。您还可以考虑尝试另一种加密解决方案,如免费的TrueCrypt的继承者VeraCrypt。 相关报道:为什么其他人都赠送加密软件,微...

  • 发布于 2021-04-03 18:41
  • 阅读 ( 200 )

如何使用supersu和twrp来创建android手机的根目录

...上,谷歌正是出于这个原因阻止你在根设备上使用Android支付。 保修:一些**商声称rooting使您的设备的保修失效。但是,rooting实际上不会损坏硬件。在许多情况下,你可以“取消根”你的设备和**商将无法判断,如果它是根。 砌...

  • 发布于 2021-04-09 02:57
  • 阅读 ( 220 )

facebook的一个漏洞暴露了instagram用户的个人电子邮件地址和生日

...击者可以很容易地获得这些私人信息。该漏洞在被报告给Facebook后被修补,被允许访问该公司正在测试的一个实验性功能的商业账户所利用。 这次攻击使用了Facebook的Business Suite工具,任何Facebook商业帐户都可以使用...

  • 发布于 2021-04-17 04:23
  • 阅读 ( 189 )

下面是如何在750万美元的google plus安全漏洞解决方案中提出索赔

...和参与度都很低”,这并不奇怪,因为它从未真正设法与Facebook和Twitter等社交媒体巨头展开竞争。 尽管已经达成和解,但谷歌否认了诉讼中的指控。它否认有任何不当行为,并相信没有用户“因软件缺陷而遭受任何损害或伤害...

  • 发布于 2021-04-18 04:56
  • 阅读 ( 142 )

facebook向黑客支付超过40万美元的费用来追查安全漏洞

在本周拉斯维加斯举行的Defcon黑客大会上,Facebook不仅招募了新的安全专家,而且还传播了关于它发放奖金的消息——用自己的漏洞。”Facebook安全团队成员弗雷德·沃伦斯(Fred Wolens)告诉《边缘报》(The Verge),互联网充满敌...

  • 发布于 2021-04-23 14:11
  • 阅读 ( 126 )
afu36024
afu36024

0 篇文章

相关推荐