据外媒报道,一位名叫Anand Prakash的安全研究人员上个月发现了一项能影响到Facebook账号安全的重大漏洞。这项安全漏洞可能被攻击者通过暴力攻击方式破解任意Facebook账户。Prakash发现后向Facebook漏洞报告页面发送了这项漏洞,而Facebook公司也承认该漏洞的存在并及时进行了修复。基于该漏洞的严重性、影响范围等其他因素,Facebook八天后决定奖励Prakash15000美金。
当Facebook用户忘记自己的密码时,Facebook允许他们通过“忘记密码”流程重新取回账户。Facebook随后会向用户的手机发出一条6位验证码。在将该验证码输入窗口后,用户就能够访问自己的Facebook账户并重置密码。
Prakash尝试在“忘记密码”窗口中以暴力攻击方式破解这6位数字,并发现Facebook在将账号锁定之前允许用户进行12次尝试。之后他又在Facebook beta测试页面中进行了尝试,发现Facebook也没有对输入次数做出限制。这种情况下攻击者可以对任何Facebook账户发动暴力破解。
Facebook在一份声明中表示:“漏洞奖励计划的其中一个最有价值的好处就是能在问题爆发之前提前发现它。我们很高兴因为Anand 的出色报告而对他进行奖励和表彰。 ”自2011年启动漏洞奖励计划后,Facebook已奖励800多名安全研究人员近430万美金。
京公网安备 11010502049343号