安全研究员发现Instagram漏洞,遭FaceBook高管威胁

简介:

一位独立安全研究人员声称,他曾发现了Instagram中一系列安全漏洞和配置缺陷,通过利用这些漏洞,他成功地获取了访问存储在Instagram服务器上敏感数据的权限;在他向相关厂商报告了这些漏洞后,却受到了Facebook的威胁。

安全研究员发现Instagram漏洞,遭FaceBook高管威胁

是否想过如何破解Instagram?或者如何黑掉一个facebook账户?Well,现在就已经有人就做到了!但是,需要记住的是,甚至负责地报告一个安全漏洞都可能会导致它们对你采取法律措施。

漏洞分析

一位独立安全研究人员声称,他曾发现了Instagram中一系列安全漏洞和配置缺陷,通过利用这些漏洞,他成功地获取了访问存储在Instagram服务器上敏感数据的权限;在他向相关厂商报告了这些漏洞后,却受到了Facebook的威胁。其中,存储在Instagram服务器上的敏感数据包括:

1、Instagram网站的源代码

2、Instagram的SSL证书和私钥

3、用于签名认证cookie的密钥

4、Instagram用户和员工的私人信息

5、邮件服务器证书

6、超过六个其他关键功能的密钥

然而,不但没有给他提供奖励,Facebook反而威胁要起诉该研究人员,理由是他故意隐瞒漏洞和信息。Synack的一位高级安全研究员,Wesley Weinberg参加了Facebook的bug赏金计划,在他的一位朋友暗示他sensu.instagram.com的一个服务器上可能存在漏洞后,他便开始分析Instagram系统。

这位研究人员发现了一个远程代码执行漏洞,该漏洞存在于Instagram处理用户会话cookie的方式中,这些cookie通常用来记住用户的登录细节。这个远程代码执行漏洞可能是因为下面两个缺陷:

1、运行在服务器上的Sensu-Admin Web应用程序包含一个硬编码的Ruby密钥令牌。

2、主机上运行了Ruby(3.x)版本,该版本的Ruby会通过Ruby会话cookie受代码执行漏洞的影响。

利用该漏洞,Weinberg能够迫使服务器吐出一个数据库,其中包含登录细节,包括Instagram和Facebook员工的凭证。虽然这些密码以“bcrypt”进行了加密,但Weinberg能够在几分钟内破解大量弱密码(例如changeme、instagram、password)。

暴露所有信息,包括你的自拍照

Weinberg并没有就此停止。他仔细研究了在服务器上发现的其他配置文件,并发现其中一个文件中包含了一些Amazon Web服务账户的密钥,以及用于寄宿Instagram Sensu设置的云计算服务。

这些密钥列出了82个 Amazon S3 bucket(存储单元),但这些bucket都是互不相同的。在那个bucket中的最新文件中,他并未发现任何敏感信息,但是当他查看旧版本的文件时,他却发现了另一个密钥对,使用它能够阅读所有82个bucket的内容。

安全研究员发现Instagram漏洞,遭FaceBook高管威胁

Weinberg无意中发现了几乎所有的内容,包括:

1、Instagram的源代码

2、SSL证书和私钥(包括instagram.com和*.instagram.com)

3、用于与其他服务交互的API密钥

4、Instagram用户上传的图片

5、instagram.com网站上的静态内容

6、邮件服务器证书

7、iOS和Android应用程序签名密钥

8、其他敏感数据

安全研究员发现Instagram漏洞,遭FaceBook高管威胁

负责任的信息披露,但Facebook却威胁诉讼

Weinberg将它的发现报告给了Facebook的安全团队,但该社交媒体巨头担心他在发现该问题时,就已经访问了其用户和员工的私人数据。所以,Weinberg不仅未收到Facebook的奖励,反而被Facebook的赏金计划判定为不合格。

在12月初,Weinberg声称他的老板Synack CEO Jay Kaplan收到来自Facebook安全主管Alex Stamos的一个可怕的电话,该电话是关于Weinberg在Instagram中发现的漏洞的,这个漏洞使得Instagram和Facebook用户暴露在毁灭性的攻击风险中。

Weinberg在它的博文中的题目为“威胁和恐吓”的部分中写道:

“Stamos表示,他不想让Facebook的法律团队参与进来;但是,他不确定这是否是需要他通过法律部门去解决的事情。”

作为回应,Stamos发表了一份声明,说他“未威胁要采取法律行动来反对Synack和Weinberg,也未要求解雇Weinberg。”Stamos说他只告诉Kaplan“让双方的律师不要插手此事。”

Facebook回应

在该研究人员最初发表博文之后,Facebook发布了回应,声称对方的责备是纯属子虚乌有,并表示并未警告Weinberg不能发表他的发现,而是表示要求他不要公开所访问的私人信息。

该社交媒体巨头证实sensu.instagram.com域名中确实存在远程代码执行漏洞,并向Weinberg和他的朋友承诺2500美元的漏洞奖金。然而,允许Weinberg获取访问敏感数据权限的其他漏洞并不合格,Facebook表示Weinberg违反了用户隐私而访问了私人数据。


作者:JackFree

来源:51CTO

相关文章
|
Web App开发 安全 Java
Facebook 被曝雇用公司抹黑 TikTok;Spring 承认 RCE 大漏洞;Chrome 100 发布 | 思否周刊
Facebook 被曝雇用公司抹黑 TikTok;Spring 承认 RCE 大漏洞;Chrome 100 发布 | 思否周刊
209 0
|
机器学习/深度学习 人工智能 安全
蚂蚁安全实验室斩获NeurIPS & Facebook AI联合竞赛冠军
12月10日,由国际人工智能顶会NeurIPS 与 Facebook AI联合举办的图像相似匹配竞赛ISC2021落下帷幕,本次比赛共有1635支参赛队伍参加,是今年NeurIPS会议上最具影响力的比赛之一。来自蚂蚁集团的TitanShield Team(titanshield2)以超越第二名10个百分点的成绩斩获图像表征赛道冠军。据悉,此次夺冠团队采用的技术方案是由蚂蚁集团独立自研的、“基于特征兼容自监督学习框架”的预训练模型,能够针对性地解决内容安全风控领域常见的敏感信息更迭速度快、风控模型训练不及时等问题。作为可信AI技术研究及应用中的一环,该技术上线后可降低80%的图像对抗风险,将有助
213 0
|
XML Web App开发 安全
我如何发现Facebook服务器中的远程代码执行漏洞
大家好!首先我做一下自我介绍。我叫Reginaldo Silva,是一名巴西籍的计算机工程师。最近我的工作与信息安全有关,尤其是在Web应用程序安全性的方面。如果可以的话,我很乐意给大家演示如何入侵网站和应用程序。我的主页上有一些相关信息,欢迎大家浏览。
210 0
「镁客早报」Facebook再曝数据漏洞;分析师预测谷歌亚马逊明年将推出AirPods竞品
因为一个漏洞,Facebook上有680万用户的私人照片被暴露给不应该看到它们的应用程序。
422 0
|
安全
Facebook出现邮件错发故障 隐私安全再受关注
北京时间2月26日消息,据国外媒体报道,美国社交网站Facebook周四表示,由于一款软件升级而出现的错误,导致Facebook周三晚(美国当地时间)无法将部分邮件信息发送给正确的收件人。据悉,已有数百名Facebook用户收到了本来不属于自己的邮件信息。
1003 0
|
机器学习/深度学习 安全 网络安全
|
安全 测试技术
因图片处理软件一个漏洞,Facebook给出历史最高漏洞赏金
本文讲的是因图片处理软件一个漏洞,Facebook给出历史最高漏洞赏金,ImageMagick是一个免费开源的图像处理软件,用于创建、编辑、合成图片,可运行于大多数的操作系统,支持PHP、Ruby、NodeJS和Python等多种语言,使用非常广泛。
1410 0