转载

Facebook修复能破解任何其账户的Bug 并奖励安全人员1.5万美金

　　一位名叫 Anand Prakash 的安全研究人员上个月发现了一项能影响到 Facebook 账号安全的重大漏洞。这项安全漏洞可能被攻击者通过暴力攻击方式破解任意 Facebook 账户。Prakash 发现后向 Facebook 漏洞报告页面发送了这项漏洞，而 Facebook 公司也承认该漏洞的存在并及时进行了修复。基于该漏洞的严重性、影响范围等其他因素，Facebook 八天后决定奖励 Prakash15000 美金。

　　当 Facebook 用户忘记自己的密码时，Facebook 允许他们通过“忘记密码”流程重新取回账户。Facebook 随后会向用户的手机发出一条 6 位验证码。在将该验证码输入窗口后，用户就能够访问自己的 Facebook 账户并重置密码。

　　Prakash 尝试在“忘记密码”窗口中以暴力攻击方式破解这 6 位数字，并发现 Facebook 在将账号锁定之前允许用户进行 12 次尝试。之后他又在 Facebook beta 测试页面中进行了尝试，发现 Facebook 也没有对输入次数做出限制。这种情况下攻击者可以对任何 Facebook 账户发动暴力破解。

　　Facebook 在一份声明中表示：“漏洞奖励计划的其中一个最有价值的好处就是能在问题爆发之前提前发现它。我们很高兴因为 Anand 的出色报告而对他进行奖励和表彰。 ”自 2011 年启动漏洞奖励计划后，Facebook 已奖励 800 多名安全研究人员近 430 万美金。

正文到此结束