台灣有資訊安全公司的員工對 Facebook 進行滲透測試,期間無意中發現 Facebook 員工伺服器上藏有後門,會盜取員工帳戶和密碼。其後他向 Facebook 回報問題並獲得 10000 美元獎金。
台灣資安公司「戴夫寇爾」(DEVCORE )一個署名 Orange Tsai 的員工日前向 Facebook 伺服器進行滲入測試,卻無意中發現他人植入於員工伺服器的後門程式。
他首先尋找 Facebook 伺服器的 IP 範圍,然後發現了 files.fb.com,再經過分析發現網站利用 Accellion 的檔案安全傳送功能。最他一共發現七個 Accelltion 漏洞,包括 XSS 和 Pre-Auth SQLi,於是他便可用 WebShell 滲入 Facebook 的伺服器。
然而他開始發現一些有可疑的 PHP 檔案,最終確認有黑客在去年七月和九月入侵伺服器,並放置後門記錄員工的帳戶的帳戶和密碼。最後他向 Facebook 和 Accelltion 回報漏洞,並獲得 Facebook 漏洞回報的 10000 美元獎金。
Facebook 安全工程師 Reginaldo Silva 其後指出,那些惡意 PHP 檔案其實是另一個參與漏洞回報計劃的研究人員植入;又指出該位研究人員和 Orange 都沒有破解伺服器其他部分。「兩個優秀的研究人員進入系統,其中一個向我們回報問題和獲得可觀獎賞,沒有人能更深入地潛入。」
Source : The Register