據(jù)外媒報(bào)道，一位名叫Anand Prakash的安全研究人員上個(gè)月發(fā)現(xiàn)了一項(xiàng)能影響到Facebook賬號(hào)安全的重大漏洞。這項(xiàng)安全漏洞可能被攻擊者通過暴力攻擊方式破解任意Facebook賬戶。Prakash發(fā)現(xiàn)后向Facebook漏洞報(bào)告頁面發(fā)送了這項(xiàng)漏洞，而Facebook公司也承認(rèn)該漏洞的存在并及時(shí)進(jìn)行了修復(fù)。基于該漏洞的嚴(yán)重性、影響范圍等其他因素，F(xiàn)acebook八天后決定獎(jiǎng)勵(lì)Prakash15000美金。

當(dāng)Facebook用戶忘記自己的密碼時(shí)，F(xiàn)acebook允許他們通過“忘記密碼”流程重新取回賬戶。Facebook隨后會(huì)向用戶的手機(jī)發(fā)出一條6位驗(yàn)證碼。在將該驗(yàn)證碼輸入窗口后，用戶就能夠訪問自己的Facebook賬戶并重置密碼。

Prakash嘗試在“忘記密碼”窗口中以暴力攻擊方式破解這6位數(shù)字，并發(fā)現(xiàn)Facebook在將賬號(hào)鎖定之前允許用戶進(jìn)行12次嘗試。之后他又在Facebook beta測試頁面中進(jìn)行了嘗試，發(fā)現(xiàn)Facebook也沒有對(duì)輸入次數(shù)做出限制。這種情況下攻擊者可以對(duì)任何Facebook賬戶發(fā)動(dòng)暴力破解。

Facebook在一份聲明中表示：“漏洞獎(jiǎng)勵(lì)計(jì)劃的其中一個(gè)最有價(jià)值的好處就是能在問題爆發(fā)之前提前發(fā)現(xiàn)它。我們很高興因?yàn)锳nand 的出色報(bào)告而對(duì)他進(jìn)行獎(jiǎng)勵(lì)和表彰。 ”自2011年啟動(dòng)漏洞獎(jiǎng)勵(lì)計(jì)劃后，F(xiàn)acebook已獎(jiǎng)勵(lì)800多名安全研究人員近430萬美金。