據(jù)了解,這位名為L(zhǎng)axman Muthiyah 的安全研究員,表示能透過Facebook開發(fā)者平臺(tái)中Graph API 技術(shù)標(biāo)準(zhǔn)里的bug,瞞過Facebook且在不被系統(tǒng)警告得情況下刪除任何設(shè)定為公開的相片或相簿。
Laxman Muthiyah曾利用實(shí)驗(yàn)帳號(hào)測(cè)試過,竟能輕松瞞過Facebook刪除非本人的相片,且Laxman Muthiyah甚至還把這些心得寫在個(gè)人網(wǎng)站上,“若你在Facebook上的相簿設(shè)定為公開,我就有辦法把它刪除。”
Laxman Muthiyah 是一名住在印度的娛樂網(wǎng)站開發(fā)人員。對(duì)此事件Facebook 日前也發(fā)表安全澄清,只要用戶在相簿有設(shè)定隱私權(quán)限,例如限制上傳的本人、或只允許特定用戶瀏覽,就不會(huì)有相片被刪除的安全疑慮。
毫無(wú)疑問,這絕對(duì)是個(gè)安全重大漏洞,但Laxman Muthiyah 并沒有因此想利用這點(diǎn),反而在第一時(shí)間將此問題回報(bào)給Facebook。至于Facebook 也認(rèn)為事態(tài)嚴(yán)重,不但花了兩小時(shí)將此bug 修復(fù),也隨即以12,500 美元的代價(jià)感謝Laxman Muthiyah 找出此bug。
這筆數(shù)字是目前Facebook 所發(fā)出的最高額獎(jiǎng)金,F(xiàn)acebook 也公開在網(wǎng)站上特別感謝Laxman Muthiyah。
近幾年也有多高科技公司,以類似賞金方式鼓勵(lì)各界安全研究員,在趁著被不肖人士利用前幫忙找出軟體bug,像是Google 甚至為此撥出一筆補(bǔ)助經(jīng)費(fèi)。
京公網(wǎng)安備 11010502049343號(hào)