一位獨(dú)立安全研究人員聲稱，他曾發(fā)現(xiàn)了Instagram中一系列安全漏洞和配置缺陷，通過利用這些漏洞，他成功地獲取了訪問存儲(chǔ)在Instagram服務(wù)器上敏感數(shù)據(jù)的權(quán)限;在他向相關(guān)廠商報(bào)告了這些漏洞后，卻受到了Facebook的威脅。

[[159845]]

是否想過如何破解Instagram?或者如何黑掉一個(gè)facebook賬戶?Well，現(xiàn)在就已經(jīng)有人就做到了!但是，需要記住的是，甚至負(fù)責(zé)地報(bào)告一個(gè)安全漏洞都可能會(huì)導(dǎo)致它們對(duì)你采取法律措施。

漏洞分析

一位獨(dú)立安全研究人員聲稱，他曾發(fā)現(xiàn)了Instagram中一系列安全漏洞和配置缺陷，通過利用這些漏洞，他成功地獲取了訪問存儲(chǔ)在Instagram服務(wù)器上敏感數(shù)據(jù)的權(quán)限;在他向相關(guān)廠商報(bào)告了這些漏洞后，卻受到了Facebook的威脅。其中，存儲(chǔ)在Instagram服務(wù)器上的敏感數(shù)據(jù)包括：

1、Instagram網(wǎng)站的源代碼

2、Instagram的SSL證書和私鑰

3、用于簽名認(rèn)證cookie的密鑰

4、Instagram用戶和員工的私人信息

5、郵件服務(wù)器證書

6、超過六個(gè)其他關(guān)鍵功能的密鑰

然而，不但沒有給他提供獎(jiǎng)勵(lì)，F(xiàn)acebook反而威脅要起訴該研究人員，理由是他故意隱瞞漏洞和信息。Synack的一位高級(jí)安全研究員，Wesley Weinberg參加了Facebook的bug賞金計(jì)劃，在他的一位朋友暗示他sensu.instagram.com的一個(gè)服務(wù)器上可能存在漏洞后，他便開始分析Instagram系統(tǒng)。

這位研究人員發(fā)現(xiàn)了一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞存在于Instagram處理用戶會(huì)話cookie的方式中，這些cookie通常用來記住用戶的登錄細(xì)節(jié)。這個(gè)遠(yuǎn)程代碼執(zhí)行漏洞可能是因?yàn)橄旅鎯蓚€(gè)缺陷：

1、運(yùn)行在服務(wù)器上的Sensu-Admin Web應(yīng)用程序包含一個(gè)硬編碼的Ruby密鑰令牌。

2、主機(jī)上運(yùn)行了Ruby(3.x)版本，該版本的Ruby會(huì)通過Ruby會(huì)話cookie受代碼執(zhí)行漏洞的影響。

利用該漏洞，Weinberg能夠迫使服務(wù)器吐出一個(gè)數(shù)據(jù)庫，其中包含登錄細(xì)節(jié)，包括Instagram和Facebook員工的憑證。雖然這些密碼以“bcrypt”進(jìn)行了加密，但Weinberg能夠在幾分鐘內(nèi)破解大量弱密碼(例如changeme、instagram、password)。

暴露所有信息，包括你的自拍照

Weinberg并沒有就此停止。他仔細(xì)研究了在服務(wù)器上發(fā)現(xiàn)的其他配置文件，并發(fā)現(xiàn)其中一個(gè)文件中包含了一些Amazon Web服務(wù)賬戶的密鑰，以及用于寄宿Instagram Sensu設(shè)置的云計(jì)算服務(wù)。

這些密鑰列出了82個(gè) Amazon S3 bucket(存儲(chǔ)單元)，但這些bucket都是互不相同的。在那個(gè)bucket中的最新文件中，他并未發(fā)現(xiàn)任何敏感信息，但是當(dāng)他查看舊版本的文件時(shí)，他卻發(fā)現(xiàn)了另一個(gè)密鑰對(duì)，使用它能夠閱讀所有82個(gè)bucket的內(nèi)容。

Weinberg無意中發(fā)現(xiàn)了幾乎所有的內(nèi)容，包括：

1、Instagram的源代碼

2、SSL證書和私鑰(包括instagram.com和*.instagram.com)

3、用于與其他服務(wù)交互的API密鑰

4、Instagram用戶上傳的圖片

5、instagram.com網(wǎng)站上的靜態(tài)內(nèi)容

6、郵件服務(wù)器證書

7、iOS和Android應(yīng)用程序簽名密鑰

8、其他敏感數(shù)據(jù)

負(fù)責(zé)任的信息披露，但Facebook卻威脅訴訟

Weinberg將它的發(fā)現(xiàn)報(bào)告給了Facebook的安全團(tuán)隊(duì)，但該社交媒體巨頭擔(dān)心他在發(fā)現(xiàn)該問題時(shí)，就已經(jīng)訪問了其用戶和員工的私人數(shù)據(jù)。所以，Weinberg不僅未收到Facebook的獎(jiǎng)勵(lì)，反而被Facebook的賞金計(jì)劃判定為不合格。

在12月初，Weinberg聲稱他的老板Synack CEO Jay Kaplan收到來自Facebook安全主管Alex Stamos的一個(gè)可怕的電話，該電話是關(guān)于Weinberg在Instagram中發(fā)現(xiàn)的漏洞的，這個(gè)漏洞使得Instagram和Facebook用戶暴露在毀滅性的攻擊風(fēng)險(xiǎn)中。

Weinberg在它的博文中的題目為“威脅和恐嚇”的部分中寫道：

“Stamos表示，他不想讓Facebook的法律團(tuán)隊(duì)參與進(jìn)來;但是，他不確定這是否是需要他通過法律部門去解決的事情。”

作為回應(yīng)，Stamos發(fā)表了一份聲明，說他“未威脅要采取法律行動(dòng)來反對(duì)Synack和Weinberg，也未要求解雇Weinberg。”Stamos說他只告訴Kaplan“讓雙方的律師不要插手此事。”

Facebook回應(yīng)

在該研究人員最初發(fā)表博文之后，F(xiàn)acebook發(fā)布了回應(yīng)，聲稱對(duì)方的責(zé)備是純屬子虛烏有，并表示并未警告Weinberg不能發(fā)表他的發(fā)現(xiàn)，而是表示要求他不要公開所訪問的私人信息。

該社交媒體巨頭證實(shí)sensu.instagram.com域名中確實(shí)存在遠(yuǎn)程代碼執(zhí)行漏洞，并向Weinberg和他的朋友承諾2500美元的漏洞獎(jiǎng)金。然而，允許Weinberg獲取訪問敏感數(shù)據(jù)權(quán)限的其他漏洞并不合格，F(xiàn)acebook表示W(wǎng)einberg違反了用戶隱私而訪問了私人數(shù)據(jù)。