原标题:奖金猎人找到价值5000美元的脸书漏洞,可找到任何用户的电邮帐号
示意图,与新闻事件无关。
图片来源:一名专门参与各种抓漏奖励(Bug Bounty)专案的软体工程师Tommy DeVoss上周表示他找到了一个可以揭漏任何脸书(Facebook)用户电子邮件帐号的安全漏洞,并获得了5000美元(约16.1万元新台币)的奖金。
DeVoss先在脸书上建立一个粉丝页(Page),其中有个功能是可邀请脸书用户担任该粉丝页的管理员,负责编辑文章或新增成员。假设DeVoss新增了一名非友人的脸书用户作为粉丝页管理员,脸书就会先发交友邀请函给那名用户,再询问他是否接受担任管理员的角色。
而在粉丝页的管理介面上,则有一取消邀请的功能,DeVoss发现,倘若他在行动版上的管理介面上取消了要对方成为管理员的邀请,就会被导至一个新页面,同时会在网址上显示该名用户的电邮帐号,不管该电邮帐号公开与否。
要开採此一漏洞有两个前提,一是必须藉由行动介面取消邀请,其次是所邀请的对象为非友人。理论上可以取得脸书所有用户的电子邮件帐号,用以寄发垃圾邮件或进行网钓攻击。
DeVoss在今年的11月25日将该漏洞提报给脸书,脸书则在12月14日关闭了该漏洞,并在20日颁发5000美元的抓漏奖金予DeVoss。
脸书是在2011年的10月展开抓漏奖励计画,估计到今年10月为止的5年间,总计支付了超过500万美元的奖金予逾900名研究人员,获得最多奖金的国别依序是印度、美国与墨西哥。
相关:
示意图,与新闻事件无关。 图片来源: U.S. Customs and Border Protection 美国海关及边境保护局(U.S. Customs and Border Protection,CBP)本周悄悄地开始要求38个参与免签证计画(Visa Waiver Program)的境外
脸书:台湾司法机关上半年提出480次要求,调阅733人帐号资料
Facebook公布2016年上半年全球政府资料索取报告,该期间共计收到来自全球政府共59,229件使用者资料调阅要求,较上一次公布的2015下半年的46,710件增加了27%。该报告也公布了台湾政府机关对Facebook提出的资料调阅要求
奇异博士也遭骇!骇客组织OurMine骇入Netflix、Marvel 推特帐号
继脸书执行长札克伯(Mark Zuckerberg)等知名人物后,Netflix与漫威(Marvel)旗下推特(Twitter)帐号周三也遭骇客组织OurMine分别骇入。Netflix美国和漫威旗下多个超级英雄,包括《奇异博士》、《美国队长》及《星
(优活健康网记者徐平/综合报道)小儿脂肪肝的重大发现,关键成因找到了!由亚东纪念医院及台大儿童医院合作的研究显示,肥胖儿童发生脂肪肝的关键成因为IRGM基因变异—罹患脂肪肝的肥胖儿童之中有高达28%有I
(中央社记者黄旭升新北市21日电)亚东医院小儿肠胃科医生林裕诚与台大医院小儿科教授倪衍玄合作研究,找到小儿脂肪肝的关键成因IRGM基因变异。未来透过增进蛋白活性药物治疗脂肪肝,是全新研究方向。肥胖是儿童青少