台湾资安研究员找出漏洞救了 Facebook,官方却傲娇不承

浏览量:447 发布于:2020-06-24

台湾资安研究员找出漏洞救了 Facebook,官方却傲娇不承

一个 bug 可能造成的影响难以预估,小则没有任何人发现,天下太平;大则可能造成公司无法预估的损失,甚至整个公司停摆。因此,许多大型的科技公司都会推出所谓的「bug bounty」。顾名思义就是以奖金的方式鼓励外部资安人士前来找寻公司的资安漏洞。如 Facebook、Google、Uber 都有这样的机制存在。

台湾资安研究员成功找到 Facebook 的 bug!

任职于资安公司戴夫寇尔(DEVCORE)的 Orange Tsai,于今年二月挖掘到 Facebook 伺服器被植入后门程式用以记录 Facebook 的员工资料与帐号密码以及其他漏洞,回报 Facebook 后成功获得认可,获得总计 1 万美元的奖金。

根据 BBC 的报导,当 Orange Tsai 第一次看到被植入的后门程式,他认为这是个非常严重的资安问题。Facebook 方面虽然承认 Orange Tsai 所挖掘出来的后门程式存在,却表示 Orange Tsai 所发现的并不是骇客所植入的后门,而是另一组参与 Bug Bounty 团队所留下来的痕迹,也再次强调并没有任何使用者的帐密因此被外洩。

找寻漏洞与发现后门程式全记录

而 Orange Tsai 也在 Facebook 的同意之下,将这次行动的细节完整地记录于 DEVCORE 的部落格 上。对我来说虽然每个字都认识,读起来却依然像天书一样难懂,不过在 Orange Tsai 幽默诙谐的风格带领之下,也可以一步一步地了解骇客世界中的一小角落。

节录一小段像是:

有兴趣的人非常建议可以到 DEVCORE 的部落格  阅读这次的全记录。

延伸阅读:

美国用网路对 ISIS 投炸弹!人家国防战都打到线上台湾部队还在高装检吗?
骇客祖师爷是一群平均年龄只有 16 岁的屁孩团体
网路安全等同你的人身安全》资讯时代,你需要的各种资安基本功