精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當前位置:安全企業動態 → 正文

安全研究員發現Instagram漏洞,遭FaceBook高管威脅

責任編輯:editor005 作者:JackFree |來源:企業網D1Net  2015-12-21 14:05:12 本文摘自:FreeBuf

一位獨立安全研究人員聲稱,他曾發現了Instagram中一系列安全漏洞和配置缺陷,通過利用這些漏洞,他成功地獲取了訪問存儲在Instagram服務器上敏感數據的權限;在他向相關廠商報告了這些漏洞后,卻受到了Facebook的威脅。

安全研究員發現Instagram漏洞,遭FaceBook高管威脅

是否想過如何破解Instagram?或者如何黑掉一個facebook賬戶?Well,現在就已經有人就做到了!但是,需要記住的是,甚至負責地報告一個安全漏洞都可能會導致它們對你采取法律措施。

漏洞分析

一位獨立安全研究人員聲稱,他曾發現了Instagram中一系列安全漏洞和配置缺陷,通過利用這些漏洞,他成功地獲取了訪問存儲在Instagram服務器上敏感數據的權限;在他向相關廠商報告了這些漏洞后,卻受到了Facebook的威脅。其中,存儲在Instagram服務器上的敏感數據包括:

1、Instagram網站的源代碼

2、Instagram的SSL證書和私鑰

3、用于簽名認證cookie的密鑰

4、Instagram用戶和員工的私人信息

5、郵件服務器證書

6、超過六個其他關鍵功能的密鑰

然而,不但沒有給他提供獎勵,Facebook反而威脅要起訴該研究人員,理由是他故意隱瞞漏洞和信息。Synack的一位高級安全研究員,Wesley Weinberg參加了Facebook的bug賞金計劃,在他的一位朋友暗示他sensu.instagram.com的一個服務器上可能存在漏洞后,他便開始分析Instagram系統。

這位研究人員發現了一個遠程代碼執行漏洞,該漏洞存在于Instagram處理用戶會話cookie的方式中,這些cookie通常用來記住用戶的登錄細節。這個遠程代碼執行漏洞可能是因為下面兩個缺陷:

1、運行在服務器上的Sensu-Admin Web應用程序包含一個硬編碼的Ruby密鑰令牌。

2、主機上運行了Ruby(3.x)版本,該版本的Ruby會通過Ruby會話cookie受代碼執行漏洞的影響。

利用該漏洞,Weinberg能夠迫使服務器吐出一個數據庫,其中包含登錄細節,包括Instagram和Facebook員工的憑證。雖然這些密碼以“bcrypt”進行了加密,但Weinberg能夠在幾分鐘內破解大量弱密碼(例如changeme、instagram、password)。

暴露所有信息,包括你的自拍照

Weinberg并沒有就此停止。他仔細研究了在服務器上發現的其他配置文件,并發現其中一個文件中包含了一些Amazon Web服務賬戶的密鑰,以及用于寄宿Instagram Sensu設置的云計算服務。

這些密鑰列出了82個 Amazon S3 bucket(存儲單元),但這些bucket都是互不相同的。在那個bucket中的最新文件中,他并未發現任何敏感信息,但是當他查看舊版本的文件時,他卻發現了另一個密鑰對,使用它能夠閱讀所有82個bucket的內容。

安全研究員發現Instagram漏洞,遭FaceBook高管威脅

  Weinberg無意中發現了幾乎所有的內容,包括:

1、Instagram的源代碼

2、SSL證書和私鑰(包括instagram.com和*.instagram.com)

3、用于與其他服務交互的API密鑰

4、Instagram用戶上傳的圖片

5、instagram.com網站上的靜態內容

6、郵件服務器證書

7、iOS和Android應用程序簽名密鑰

8、其他敏感數據

安全研究員發現Instagram漏洞,遭FaceBook高管威脅

  負責任的信息披露,但Facebook卻威脅訴訟

Weinberg將它的發現報告給了Facebook的安全團隊,但該社交媒體巨頭擔心他在發現該問題時,就已經訪問了其用戶和員工的私人數據。所以,Weinberg不僅未收到Facebook的獎勵,反而被Facebook的賞金計劃判定為不合格。

在12月初,Weinberg聲稱他的老板Synack CEO Jay Kaplan收到來自Facebook安全主管Alex Stamos的一個可怕的電話,該電話是關于Weinberg在Instagram中發現的漏洞的,這個漏洞使得Instagram和Facebook用戶暴露在毀滅性的攻擊風險中。

Weinberg在它的博文中的題目為“威脅和恐嚇”的部分中寫道:

“Stamos表示,他不想讓Facebook的法律團隊參與進來;但是,他不確定這是否是需要他通過法律部門去解決的事情。”

作為回應,Stamos發表了一份聲明,說他“未威脅要采取法律行動來反對Synack和Weinberg,也未要求解雇Weinberg。”Stamos說他只告訴Kaplan“讓雙方的律師不要插手此事。”

Facebook回應

在該研究人員最初發表博文之后,Facebook發布了回應,聲稱對方的責備是純屬子虛烏有,并表示并未警告Weinberg不能發表他的發現,而是表示要求他不要公開所訪問的私人信息。

該社交媒體巨頭證實sensu.instagram.com域名中確實存在遠程代碼執行漏洞,并向Weinberg和他的朋友承諾2500美元的漏洞獎金。然而,允許Weinberg獲取訪問敏感數據權限的其他漏洞并不合格,Facebook表示Weinberg違反了用戶隱私而訪問了私人數據。

關鍵字:InstagramFacebook

本文摘自:FreeBuf

x 安全研究員發現Instagram漏洞,遭FaceBook高管威脅 掃一掃
分享本文到朋友圈
當前位置:安全企業動態 → 正文

安全研究員發現Instagram漏洞,遭FaceBook高管威脅

責任編輯:editor005 作者:JackFree |來源:企業網D1Net  2015-12-21 14:05:12 本文摘自:FreeBuf

一位獨立安全研究人員聲稱,他曾發現了Instagram中一系列安全漏洞和配置缺陷,通過利用這些漏洞,他成功地獲取了訪問存儲在Instagram服務器上敏感數據的權限;在他向相關廠商報告了這些漏洞后,卻受到了Facebook的威脅。

安全研究員發現Instagram漏洞,遭FaceBook高管威脅

是否想過如何破解Instagram?或者如何黑掉一個facebook賬戶?Well,現在就已經有人就做到了!但是,需要記住的是,甚至負責地報告一個安全漏洞都可能會導致它們對你采取法律措施。

漏洞分析

一位獨立安全研究人員聲稱,他曾發現了Instagram中一系列安全漏洞和配置缺陷,通過利用這些漏洞,他成功地獲取了訪問存儲在Instagram服務器上敏感數據的權限;在他向相關廠商報告了這些漏洞后,卻受到了Facebook的威脅。其中,存儲在Instagram服務器上的敏感數據包括:

1、Instagram網站的源代碼

2、Instagram的SSL證書和私鑰

3、用于簽名認證cookie的密鑰

4、Instagram用戶和員工的私人信息

5、郵件服務器證書

6、超過六個其他關鍵功能的密鑰

然而,不但沒有給他提供獎勵,Facebook反而威脅要起訴該研究人員,理由是他故意隱瞞漏洞和信息。Synack的一位高級安全研究員,Wesley Weinberg參加了Facebook的bug賞金計劃,在他的一位朋友暗示他sensu.instagram.com的一個服務器上可能存在漏洞后,他便開始分析Instagram系統。

這位研究人員發現了一個遠程代碼執行漏洞,該漏洞存在于Instagram處理用戶會話cookie的方式中,這些cookie通常用來記住用戶的登錄細節。這個遠程代碼執行漏洞可能是因為下面兩個缺陷:

1、運行在服務器上的Sensu-Admin Web應用程序包含一個硬編碼的Ruby密鑰令牌。

2、主機上運行了Ruby(3.x)版本,該版本的Ruby會通過Ruby會話cookie受代碼執行漏洞的影響。

利用該漏洞,Weinberg能夠迫使服務器吐出一個數據庫,其中包含登錄細節,包括Instagram和Facebook員工的憑證。雖然這些密碼以“bcrypt”進行了加密,但Weinberg能夠在幾分鐘內破解大量弱密碼(例如changeme、instagram、password)。

暴露所有信息,包括你的自拍照

Weinberg并沒有就此停止。他仔細研究了在服務器上發現的其他配置文件,并發現其中一個文件中包含了一些Amazon Web服務賬戶的密鑰,以及用于寄宿Instagram Sensu設置的云計算服務。

這些密鑰列出了82個 Amazon S3 bucket(存儲單元),但這些bucket都是互不相同的。在那個bucket中的最新文件中,他并未發現任何敏感信息,但是當他查看舊版本的文件時,他卻發現了另一個密鑰對,使用它能夠閱讀所有82個bucket的內容。

安全研究員發現Instagram漏洞,遭FaceBook高管威脅

  Weinberg無意中發現了幾乎所有的內容,包括:

1、Instagram的源代碼

2、SSL證書和私鑰(包括instagram.com和*.instagram.com)

3、用于與其他服務交互的API密鑰

4、Instagram用戶上傳的圖片

5、instagram.com網站上的靜態內容

6、郵件服務器證書

7、iOS和Android應用程序簽名密鑰

8、其他敏感數據

安全研究員發現Instagram漏洞,遭FaceBook高管威脅

  負責任的信息披露,但Facebook卻威脅訴訟

Weinberg將它的發現報告給了Facebook的安全團隊,但該社交媒體巨頭擔心他在發現該問題時,就已經訪問了其用戶和員工的私人數據。所以,Weinberg不僅未收到Facebook的獎勵,反而被Facebook的賞金計劃判定為不合格。

在12月初,Weinberg聲稱他的老板Synack CEO Jay Kaplan收到來自Facebook安全主管Alex Stamos的一個可怕的電話,該電話是關于Weinberg在Instagram中發現的漏洞的,這個漏洞使得Instagram和Facebook用戶暴露在毀滅性的攻擊風險中。

Weinberg在它的博文中的題目為“威脅和恐嚇”的部分中寫道:

“Stamos表示,他不想讓Facebook的法律團隊參與進來;但是,他不確定這是否是需要他通過法律部門去解決的事情。”

作為回應,Stamos發表了一份聲明,說他“未威脅要采取法律行動來反對Synack和Weinberg,也未要求解雇Weinberg。”Stamos說他只告訴Kaplan“讓雙方的律師不要插手此事。”

Facebook回應

在該研究人員最初發表博文之后,Facebook發布了回應,聲稱對方的責備是純屬子虛烏有,并表示并未警告Weinberg不能發表他的發現,而是表示要求他不要公開所訪問的私人信息。

該社交媒體巨頭證實sensu.instagram.com域名中確實存在遠程代碼執行漏洞,并向Weinberg和他的朋友承諾2500美元的漏洞獎金。然而,允許Weinberg獲取訪問敏感數據權限的其他漏洞并不合格,Facebook表示Weinberg違反了用戶隱私而訪問了私人數據。

關鍵字:InstagramFacebook

本文摘自:FreeBuf

電子周刊
回到頂部

關于我們聯系我們版權聲明隱私條款廣告服務友情鏈接投稿中心招賢納士

企業網版權所有 ©2010-2024 京ICP備09108050號-6 京公網安備 11010502049343號

^ 
    • <menuitem id="jw4sk"></menuitem>
    

    • 

      3. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      
主站蜘蛛池模板:
仲巴县|
虞城县|
临高县|
嘉祥县|
凌海市|
宁强县|
长泰县|
乌海市|
台前县|
仪陇县|
西乌|
汝州市|
松潘县|
水富县|
荔波县|
徐闻县|
长汀县|
靖州|
凤翔县|
昌乐县|
和硕县|
汪清县|
富源县|
大兴区|
玉环县|
邹城市|
渝北区|
长子县|
永吉县|
青州市|
随州市|
青岛市|
伊金霍洛旗|
海南省|
舞钢市|
凤山市|
公主岭市|
米易县|
赞皇县|
闸北区|
安化县|