人們每天都會上社交網站瀏覽,因此其服務的網絡安全至為重要,否則用戶的個人資料就會流出,後果不堪設想。日前有保安專家聲稱成功駭入 Instagram 伺服器,成功讀取敏感資料。然而,他其後被 Facebook 威脅將採取法律行動。
揭發 Instagram 漏洞的是 Synack 的資安專家 Wesley Weinberg ,他參加了 Facebook 回報漏洞的獎勵計劃。他之後發現,伺服器可能受 Ruby 問題影響,產生了一個遠程命令執行(Remote Command Exection)的漏洞,使他可發現種敏感資料,包括 Instagram 源始碼、SSL 證書和私鑰、電郵伺服器密碼等,此外用家的 Instagram 照片也能讀取到。
揭發漏洞後被威脅採取法律行動
他把有關漏洞回報給 Facebook 資安團隊,但他不但得不到獎勵,反而聲稱受到 Facebook 威脅採取法律行動。他指在舉報漏洞後,他上司 Jay Kaplan 收到 Facebook 安全官 Alex Stamos 的電話。通話中 Stamos 指不希望 Facebook 的法律團隊牽涉當中,但他不肯定是否需要。他亦把有關事情於網誌中說明,並以 ‘Threats and Intimidation’ (威脅和惡嚇)為題。
Facebook 否認指控
但 Facebook 就此否認。Stamos 回應指他沒有要脅 Synack 採取法律行動。Facebook 亦沒有禁止 Weinberg 發布有關研究,只告訴他不要把接觸到的機密資料透露。Facebook 亦確認有關漏洞,並提供 2500 美元回報。然而,他舉報的其他漏洞不符合 Facebook 回報計劃的條款,因為他在接觸資料時違反私隱。
事實上類似事件早前也發生過。一個 Facebook 實習生早前開發瀏覽器插件,揭示 Facebook Messenger 的漏洞,後來Facebook 指他違反私隱規定,最後被解僱。
Source : The Hackers News
