安全研究员Wesley Wineberg发表了一篇博客,描述了他参加Facebook Bug悬赏项目的经历:他在Facebook子公司Instagram的系统中发现了三个严重漏洞,利用漏洞他能获取Instagram的源代码、SSL证书和托管云服务商亚马逊的AWS私钥,能不受限制的访问Instagram雇员和任意用户的账号。

但他的行为被Facebook指责侵犯用户隐私,威胁对他采取法律行动。

Wineberg是根据Instagram使用的开源软件Sensu-Admin,从源代码找到硬编码的秘密令牌,发现Instagram的服务器存在相同问题后成功入侵的,他下载了加密的Instagram雇员密码,破解后发现该公司雇员使用了弱密码:6个人的密码是changeme,3个人的密码与用户名相同,2个人的密码是password,还有1个人是instagram。

他报告的第一个漏洞收到了2500美元赏金,但后续漏洞披露遭到了Facebook的指责,称他未经授权获取雇员数据和用户数据的做法不当。但Wineberg坚持认为他遵守了 Bug悬赏的规则。Facebook直接通知了Wineberg的雇主,上司就此事打电话给他让他倍感震惊。

(文/Solidot

2 收藏


直接登录

推荐关注