这是 Devcore 公司的台湾安全研究员 Orange Tsai 的一个不寻常的发现。几个月前,受Facebook“Bug Bounty”奖励计划的吸引,这名黑客在发现安全漏洞后成功渗透到该社交网络的内部网络。这为他赢得了10,000美元的奖励。到目前为止,没有什么令人惊讶的。
更重要的是,蔡英文并不是第一个担任该职务的人。在访问 Facebook 运营的一台服务器后,他发现了一个比他早几个月的黑客设置的后门。显然,这个人没有完全相同的道德意识,因为他使用他的恶意软件收集和窃取 Facebook 员工的密码。据 Tsai 先生称,被盗密码并非不可能允许访问公司电子邮件或内部 VPN 网络等敏感资源。
入侵还是安全测试?
Facebook 是重大入侵的受害者吗?无论如何,这家硅谷巨头完全淡化了此事。“经过调查,Orange 发现的活动实际上来自另一位也参与 Bug Bounty 计划的安全研究人员。两位研究人员都无法破坏我们基础设施的其他部分。在我们看来,这是双赢:两位有能力的研究人员分析了我们的系统,其中一位发回了他的发现并获得了丰厚的奖励,但他们都无法更进一步 »Facebook 安全工程师 Reginaldo Silva 在 Reddit 上用表面上乐观的语气解释道。
但这个答案却很奇怪。一个“有能力的研究人员”不会做第一个黑客所做的事情,因为这违背了“Bug Bounty”补偿计划的规则。后者规定,除其他外,禁止利用系统中发现的缺陷,并且必须避免违反保密规定。现在,安装后门和收集密码就分为这两类。
阅读:Facebook:这名黑客可能入侵了任何帐户
从这里开始,有几种假设是可能的。要么这位神秘黑客并无恶意,但在这种情况下,他的分析确实越界了,Facebook 不应该称他“有能力”。要么黑客是恶意的,而 Facebook 是在胡说八道。不幸的是,该社交网络没有就这个话题进一步发表评论。
最后需要指出的是,蔡先生发现的漏洞并非出现在Facebook开发的软件中,而是出现在第三方公司Accellion Secure File Transfer的软件中。它允许 Facebook 员工共享和同步文件。
资料来源:
Orange Tsai 的博客笔记,红迪网
