臉書發出高額獎金給「抓漏」工程師

【大紀元2016年03月10日訊】（大紀元記者凌妃編譯報導）臉書（Facebook）最近出現系統密碼漏洞，隨後被一名印度資安工程師發現，並即時修補。最後臉書發給這名發現問題的工程師1.5萬美元作為抓漏獎金。

據科技網站SoftPedia 3月7日報導，印度資安專家普拉卡什（Anand Prakash）於2月22日發現可以駭進任何人的臉書，取得他們的帳號控制權，進而輕易變更他人密碼的方法，然後重新設定一個新密碼，快速取得他人的檔案。

普拉卡什發現臉書系統的漏洞，最後幫助臉書修復了這個問題。

普拉卡什在他的博客上寫，只要利用簡單的暴力攻擊就可以破解系統，來重設任何人的臉書帳號。

當用戶忘記臉書密碼時，系統會要求輸入Email、電話號碼等資訊來確認，隨後以SMS寄出一組六位元PIN碼讓用戶確認，以更改密碼。此刻，黑客只要運用簡單的暴力攻擊就可以破解這組PIN代碼，也就是說，黑客不需要PIN代碼也能重設任何人的帳號。

因為Facebook.com主網站有自動保護機制，用戶只要在嘗試10至12次失敗之後，就鎖定無法作用。不過，普拉卡什透過Facebook的Beta網址（beta.facebook.com）和沒有廣告的mbasic.beta.facebook.com暴力攻擊，都行得通。

這兩個版本是臉書的測試網站，主要供開發人員測試臉書的功能，允許一般用戶登入，也沒有10至12次輸入失敗的自動保護機制。

普拉卡什在今年2月22日將發現漏洞提交給臉書，臉書在隔天即完成修補，還頒發1.5萬美元的抓漏獎金給他。#

責任編輯： 王若愚