北京时间2月23日消息,据国外科技媒体InfoWorld报道,网络应用安全专家尼尔·戈登什拉格(Nir Goldshlager)最近发现了Facebook上存在的一处严重漏洞,该漏洞可致黑客非法访问任一账户隐私数据。 戈登什拉格在其博客上发布了一段演示视频对该漏洞进行了详细描述。该漏洞可以让攻击者通过诱骗用户打开专门制作的网络链接,从而使黑客窃取用户OAuth访问令牌,并可轻松获得私人账户数据并控制账户。 戈登什拉格称,其已将该漏洞报告给Facebook,而且Facebook的安全团队已经修复了这一漏洞,戈登什拉格在一封电子邮件中表示,“Facebook拥有专业的安全团队,他们解决问题的速度非常快。” 尽管Facebook已修复了这一漏洞,但戈登什拉格表示,他还发现了Facebook上存在跟OAuth访问令牌有关的其他多处漏洞,但他拒绝透露这些漏洞的任何信息,因为它们尚未被修复。 Facebook的一名代表通过电子邮件发表声明称,“我们欢迎安全专家提出这些引起我们关注的安全问题,并负责任地将这一漏洞反馈给我们的白帽项目团队。我们已与有关工作团队展开合作,确保我们完整地掌握这一漏洞情况,以更好地修复该漏洞。由于安全专家负责任地将该漏洞报告给Facebook,目前尚无证据显示有用户受到该漏洞影响。我们已经向这位安全专家发放了一些奖励,感谢他们为Facebook安全所作出的贡献。” 据悉,为提高网站运营安全性能,Facebook实施了“bug赏金”计划:对于发现Facebook站点上存在安全漏洞并负责地向Facebook进行反馈的安全研究人员,Facebook将向其提供一定的资金奖励。 但戈登什拉格在其Twitter上称,他尚未收到来自Facebook关于针对他所发现这一漏洞的奖金,但他同时指出,因向Facebook反馈的安全报告包括多处漏洞,或许等全部修复完这些漏洞后,Facebook才会向其支付奖金。 对于发现安全漏洞的安全人员,Facebook通常会支付不菲的奖金。戈登什拉格称,“我说不准此次Facebook将支付多少奖金,但据我所知,此次它们所支付的奖金将超出其他任何一次安全漏洞奖励数额。”
|