blog

研究人员发现了大量的Instagram安全千赢娱乐

Facebook被指控威胁一名安全研究人员,他发现了一个千赢娱乐,允许他访问拥有4亿用户照片的Instagram服务器。但这个世界上最大的社交网络否认了这一指控,称研究人员试图走得太远突出问题并获得奖励像许多其他主要公司一样,Facebook运行“臭虫赏金”计划,支付安全研究人员提交他们在公司网站或软件中发现的千赢娱乐该计划旨在促进负责任地披露千赢娱乐并帮助防止黑客入侵黑客和恶意软件供应商,如Hacking Team Wes Wineberg就是这样的研究人员之一,根据他10月在网上收到的小费,他开始调查Instagram员工的一个公开访问的门户网站(sensuinstagramcom - 这是不再可访问)并迅速发现通过利用远程代码执行错误他能够让服务器返回Instagram和Facebook员工的登录信息虽然密码是加密的,但有些人选择不当 - “instagram”,“密码”,“changeme” - 而Wineberg很容易获得10月份的访问权限21 Wineberg向其母公司Facebook报告了该照片共享应用程序的千赢娱乐,该公司承认此事并在一个月后向Wineberg支付了2500美元的支票,尽管社交网络表示他不是第一个突出问题的人。他正在等待Facebook回应他最初提交的内容,Wineberg决定寻找其他千赢娱乐 - 这就是问题开始的地方'数据的泄露'Wineberg的首席安全官Alex Stamos表示,接下来做的事情是“故意泄露数据,“根据公司的错误赏金计划的条款不允许Wineberg说他的行为”完全合法且符合要求由Facebook的Whitehat计划指定“正如他在一篇详细的博客文章中解释的那样,Wineberg在服务器配置文件中发现了可用于访问Amazon Web Services的数字密钥 - Instagram用来托管Instagram后端部分的云计算服务使用密钥, Wineberg能够查看用于容纳Instagram数据的82个不同“桶”或数字存储单元虽然他发现的第一个密钥不允许访问,但他随后发现了密钥,并且访问过它们,然后他下载了包含的数据在系统内Instagram的秘密密钥材料Wineberg说,他下载了“几个桶”,但避免下载包含Instagram用户图像的任何内容,以遵守Facebook的bug赏金条款和条件但是,他确实在他下载的信息中发现了许多有价值的数据“要说我已经获得了基本上所有Instagram的秘密密钥材料,可能是一个公平的声明,“Winebe rg说:“凭借我获得的密钥,我现在可以轻松冒充Instagram,或冒充任何有效的用户或工作人员,但在范围之外,我可以轻松地获得对任何用户的帐户,私人图片和数据的完全访问权限。不清楚使用我获得的信息然后妥协底层服务器是多么容易,但它确实开辟了很多机会“Wineberg报告了Facebook的千赢娱乐,但一个多月后该公司拒绝了提交,并在一个向研究员发送电子邮件,Facebook安全团队的一名成员表示拒绝提交的原因是它“违反了保护用户隐私的期望”而未指明他们所指的行动或行动已于12月最终提交给Facebook的错误赏金计划1,Wineberg接到他的老板Jay Kaplan的电话,他是Synack的首席执行官,这家公司发现Stamo已经联系到Kaplan的软件千赢娱乐和Wineberg声称Facebook CSO“声称他不想让Facebook的法律团队参与,但他不确定这是否是他需要去执法的事情”法律行动Stamos否认这个版本事件:“我没有威胁要对Synack或Wes采取法律行动,也没有要求Wes被解雇我说Wes的行为在他和Synack上反映不佳“根据Wineberg的事件版本,Stamos还希望Kaplan确认从Instagram服务器下载的所有数据都被删除,并且所有发现和互动都将被保密。在Stamos的事件版本中,他说Wineberg对数量不满意他因为最初的千赢娱乐而获得了报酬,但这是一个声称Wineberg否认的说法,“补偿从来就不是我的问题”另外Stamos说Facebook假设Wineberg代表Synack运营,但安全研究人员再次否认这一点声称所有的调查都是在他自己的时间完成的,并且他甚至不是Synack Wineberg主要声明的全职员工,因为他没有违反Facebook千赢娱乐的条款和条件,因为“没有规则说明该做什么当发现千赢娱乐时“Wineberg指出Tumblr和微软等公司的条款和条件更准确地定义了研究人员的能力和在搜索千赢娱乐时无法做到这一点在安全社区中意见分裂这一事件引发了安全界内一场激烈的争论,在Reddit的网络安全问题上分歧了谁是对的,哪些是错的,有些人指出Stamos已经证明他本人以前是安全研究人员的坚定支持者,特别是当空中客车公司的研究人员不得不就可疑Bluecoat设备的问题进行讨论时,因为公司的威胁“我永远不会把预算花在威胁研究人员的安全厂商身上”,Stamos安全研究员和工程师在当时的黑客新闻报道称,通过下载数据,Wineberg已经越过了一条线:“研究人员利用这个千赢娱乐转储数据。众所周知,这在安全行业是一个巨大的禁忌当您转储数据时,您将成为航班风险这意味着您拥有敏感信息并且他们不知道您将使用它做什么“其他正在推测这个千赢娱乐,如果在黑暗的网络上出售,或者像黑客团队或Vupen这样的公司出售,将是值得的。一个Redditor推测,如果千赢娱乐被迅速和正确地利用,

查看所有