安全研究員發現Instagram漏洞,遭FaceBook高管威脅
一位獨立安全研究人員聲稱,他曾發現了Instagram中一系列安全漏洞和配置缺陷,通過利用這些漏洞,他成功地獲取了訪問存儲在Instagram服務器上敏感數據的權限;在他向相關廠商報告了這些漏洞后,卻受到了Facebook的威脅。
是否想過如何破解Instagram?或者如何黑掉一個facebook賬戶?Well,現在就已經有人就做到了!但是,需要記住的是,甚至負責地報告一個安全漏洞都可能會導致它們對你采取法律措施。
漏洞分析
一位獨立安全研究人員聲稱,他曾發現了Instagram中一系列安全漏洞和配置缺陷,通過利用這些漏洞,他成功地獲取了訪問存儲在Instagram服務器上敏感數據的權限;在他向相關廠商報告了這些漏洞后,卻受到了Facebook的威脅。其中,存儲在Instagram服務器上的敏感數據包括:
1、Instagram網站的源代碼
2、Instagram的SSL證書和私鑰
3、用于簽名認證cookie的密鑰
4、Instagram用戶和員工的私人信息
5、郵件服務器證書
6、超過六個其他關鍵功能的密鑰
然而,不但沒有給他提供獎勵,Facebook反而威脅要起訴該研究人員,理由是他故意隱瞞漏洞和信息。Synack的一位高級安全研究員,Wesley Weinberg參加了Facebook的bug賞金計劃,在他的一位朋友暗示他sensu.instagram.com的一個服務器上可能存在漏洞后,他便開始分析Instagram系統。
這位研究人員發現了一個遠程代碼執行漏洞,該漏洞存在于Instagram處理用戶會話cookie的方式中,這些cookie通常用來記住用戶的登錄細節。這個遠程代碼執行漏洞可能是因為下面兩個缺陷:
1、運行在服務器上的Sensu-Admin Web應用程序包含一個硬編碼的Ruby密鑰令牌。
2、主機上運行了Ruby(3.x)版本,該版本的Ruby會通過Ruby會話cookie受代碼執行漏洞的影響。
利用該漏洞,Weinberg能夠迫使服務器吐出一個數據庫,其中包含登錄細節,包括Instagram和Facebook員工的憑證。雖然這些密碼以“bcrypt”進行了加密,但Weinberg能夠在幾分鐘內破解大量弱密碼(例如changeme、instagram、password)。
暴露所有信息,包括你的自拍照
Weinberg并沒有就此停止。他仔細研究了在服務器上發現的其他配置文件,并發現其中一個文件中包含了一些Amazon Web服務賬戶的密鑰,以及用于寄宿Instagram Sensu設置的云計算服務。
這些密鑰列出了82個 Amazon S3 bucket(存儲單元),但這些bucket都是互不相同的。在那個bucket中的最新文件中,他并未發現任何敏感信息,但是當他查看舊版本的文件時,他卻發現了另一個密鑰對,使用它能夠閱讀所有82個bucket的內容。
Weinberg無意中發現了幾乎所有的內容,包括:
1、Instagram的源代碼
2、SSL證書和私鑰(包括instagram.com和*.instagram.com)
3、用于與其他服務交互的API密鑰
4、Instagram用戶上傳的圖片
5、instagram.com網站上的靜態內容
6、郵件服務器證書
7、iOS和Android應用程序簽名密鑰
8、其他敏感數據
負責任的信息披露,但Facebook卻威脅訴訟
Weinberg將它的發現報告給了Facebook的安全團隊,但該社交媒體巨頭擔心他在發現該問題時,就已經訪問了其用戶和員工的私人數據。所以,Weinberg不僅未收到Facebook的獎勵,反而被Facebook的賞金計劃判定為不合格。
在12月初,Weinberg聲稱他的老板Synack CEO Jay Kaplan收到來自Facebook安全主管Alex Stamos的一個可怕的電話,該電話是關于Weinberg在Instagram中發現的漏洞的,這個漏洞使得Instagram和Facebook用戶暴露在毀滅性的攻擊風險中。
Weinberg在它的博文中的題目為“威脅和恐嚇”的部分中寫道:
“Stamos表示,他不想讓Facebook的法律團隊參與進來;但是,他不確定這是否是需要他通過法律部門去解決的事情。”
作為回應,Stamos發表了一份聲明,說他“未威脅要采取法律行動來反對Synack和Weinberg,也未要求解雇Weinberg。”Stamos說他只告訴Kaplan“讓雙方的律師不要插手此事。”
Facebook回應
在該研究人員最初發表博文之后,Facebook發布了回應,聲稱對方的責備是純屬子虛烏有,并表示并未警告Weinberg不能發表他的發現,而是表示要求他不要公開所訪問的私人信息。
該社交媒體巨頭證實sensu.instagram.com域名中確實存在遠程代碼執行漏洞,并向Weinberg和他的朋友承諾2500美元的漏洞獎金。然而,允許Weinberg獲取訪問敏感數據權限的其他漏洞并不合格,Facebook表示Weinberg違反了用戶隱私而訪問了私人數據。
