close
企業趨勢資訊保安

滲透測試發現 Facebook 被植入後門 員工帳戶和密碼均被截取

台灣有資訊安全公司的員工對 Facebook 進行滲透測試,期間無意中發現 Facebook 員工伺服器上藏有後門,會盜取員工帳戶和密碼。其後他向 Facebook 回報問題並獲得 10000 美元獎金。

facebook

 

台灣資安公司「戴夫寇爾」(DEVCORE )一個署名 Orange Tsai 的員工日前向 Facebook 伺服器進行滲入測試,卻無意中發現他人植入於員工伺服器的後門程式。

他首先尋找 Facebook 伺服器的 IP 範圍,然後發現了 files.fb.com,再經過分析發現網站利用 Accellion 的檔案安全傳送功能。最他一共發現七個 Accelltion 漏洞,包括 XSS 和 Pre-Auth SQLi,於是他便可用 WebShell 滲入 Facebook 的伺服器。

然而他開始發現一些有可疑的 PHP 檔案,最終確認有黑客在去年七月和九月入侵伺服器,並放置後門記錄員工的帳戶的帳戶和密碼。最後他向 Facebook 和 Accelltion 回報漏洞,並獲得 Facebook 漏洞回報的 10000 美元獎金。

Facebook 安全工程師 Reginaldo Silva 其後指出,那些惡意 PHP 檔案其實是另一個參與漏洞回報計劃的研究人員植入;又指出該位研究人員和 Orange 都沒有破解伺服器其他部分。「兩個優秀的研究人員進入系統,其中一個向我們回報問題和獲得可觀獎賞,沒有人能更深入地潛入。」

Source : The Register

 

Tags : facebookxss
Dennis Ma

The author Dennis Ma

為香港讀者分享各種 IT 新聞及趨勢,如企業動態、保安消息(勒索軟件、程式漏洞等)、未來科技(AR、VR、3D打印等。)、電子商貿;亦專門分享 SEO、網頁設計、社交平台推廣等心得。