close
企業趨勢資訊保安

揭發 Instagram RCE 漏洞後 專家稱受 Facebook 威脅採取法律行動

人們每天都會上社交網站瀏覽,因此其服務的網絡安全至為重要,否則用戶的個人資料就會流出,後果不堪設想。日前有保安專家聲稱成功駭入 Instagram 伺服器,成功讀取敏感資料。然而,他其後被 Facebook 威脅將採取法律行動。

instagram

 

揭發 Instagram 漏洞的是 Synack 的資安專家 Wesley Weinberg ,他參加了 Facebook 回報漏洞的獎勵計劃。他之後發現,伺服器可能受 Ruby 問題影響,產生了一個遠程命令執行(Remote Command Exection)的漏洞,使他可發現種敏感資料,包括 Instagram 源始碼、SSL 證書和私鑰、電郵伺服器密碼等,此外用家的 Instagram 照片也能讀取到。

instagram-account-login

 

揭發漏洞後被威脅採取法律行動

他把有關漏洞回報給 Facebook 資安團隊,但他不但得不到獎勵,反而聲稱受到 Facebook 威脅採取法律行動。他指在舉報漏洞後,他上司 Jay Kaplan 收到 Facebook 安全官 Alex Stamos 的電話。通話中 Stamos 指不希望 Facebook 的法律團隊牽涉當中,但他不肯定是否需要。他亦把有關事情於網誌中說明,並以 ‘Threats and Intimidation’ (威脅和惡嚇)為題。

 

Facebook 否認指控

但 Facebook 就此否認。Stamos 回應指他沒有要脅 Synack 採取法律行動。Facebook 亦沒有禁止 Weinberg 發布有關研究,只告訴他不要把接觸到的機密資料透露。Facebook 亦確認有關漏洞,並提供 2500 美元回報。然而,他舉報的其他漏洞不符合 Facebook 回報計劃的條款,因為他在接觸資料時違反私隱。

事實上類似事件早前也發生過。一個 Facebook 實習生早前開發瀏覽器插件,揭示 Facebook Messenger 的漏洞,後來Facebook 指他違反私隱規定,最後被解僱。

Source : The Hackers News

 

Tags : facebookInstagram
Dennis Ma

The author Dennis Ma

為香港讀者分享各種 IT 新聞及趨勢,如企業動態、保安消息(勒索軟件、程式漏洞等)、未來科技(AR、VR、3D打印等。)、電子商貿;亦專門分享 SEO、網頁設計、社交平台推廣等心得。

Leave a Response