獎金獵人找到價值5000美元的臉書漏洞，可找到任何用戶的電郵帳號

一名專門參與各種抓漏獎勵（Bug Bounty）專案的軟體工程師Tommy DeVoss上周表示他找到了一個可以揭漏任何臉書（Facebook）用戶電子郵件帳號的安全漏洞，並獲得了5000美元（約16.1萬元新台幣）的獎金。

DeVoss先在臉書上建立一個粉絲頁（Page），其中有個功能是可邀請臉書用戶擔任該粉絲頁的管理員，負責編輯文章或新增成員。假設DeVoss新增了一名非友人的臉書用戶作為粉絲頁管理員，臉書就會先發交友邀請函給那名用戶，再詢問他是否接受擔任管理員的角色。

而在粉絲頁的管理介面上，則有一取消邀請的功能，DeVoss發現，倘若他在行動版上的管理介面上取消了要對方成為管理員的邀請，就會被導至一個新頁面，同時會在網址上顯示該名用戶的電郵帳號，不管該電郵帳號公開與否。

要開採此一漏洞有兩個前提，一是必須藉由行動介面取消邀請，其次是所邀請的對象為非友人。理論上可以取得臉書所有用戶的電子郵件帳號，用以寄發垃圾郵件或進行網釣攻擊。

DeVoss在今年的11月25日將該漏洞提報給臉書，臉書則在12月14日關閉了該漏洞，並在20日頒發5000美元的抓漏獎金予DeVoss。

臉書是在2011年的10月展開抓漏獎勵計畫，估計到今年10月為止的5年間，總計支付了超過500萬美元的獎金予逾900名研究人員，獲得最多獎金的國別依序是印度、美國與墨西哥。