示意圖,與新聞事件無關。

圖片來源: 

Facebook

一名專門參與各種抓漏獎勵(Bug Bounty)專案的軟體工程師Tommy DeVoss上周表示他找到了一個可以揭漏任何臉書(Facebook)用戶電子郵件帳號的安全漏洞,並獲得了5000美元(約16.1萬元新台幣)的獎金。

DeVoss先在臉書上建立一個粉絲頁(Page),其中有個功能是可邀請臉書用戶擔任該粉絲頁的管理員,負責編輯文章或新增成員。假設DeVoss新增了一名非友人的臉書用戶作為粉絲頁管理員,臉書就會先發交友邀請函給那名用戶,再詢問他是否接受擔任管理員的角色。

而在粉絲頁的管理介面上,則有一取消邀請的功能,DeVoss發現,倘若他在行動版上的管理介面上取消了要對方成為管理員的邀請,就會被導至一個新頁面,同時會在網址上顯示該名用戶的電郵帳號,不管該電郵帳號公開與否。

要開採此一漏洞有兩個前提,一是必須藉由行動介面取消邀請,其次是所邀請的對象為非友人。理論上可以取得臉書所有用戶的電子郵件帳號,用以寄發垃圾郵件或進行網釣攻擊。

DeVoss在今年的11月25日將該漏洞提報給臉書,臉書則在12月14日關閉了該漏洞,並在20日頒發5000美元的抓漏獎金予DeVoss。

臉書是在2011年的10月展開抓漏獎勵計畫,估計到今年10月為止的5年間,總計支付了超過500萬美元的獎金予逾900名研究人員,獲得最多獎金的國別依序是印度、美國與墨西哥。


Advertisement

更多 iThome相關內容