令人震惊的Instagram被黑了!研究人员侵入Instagram服务器和管理面板
相关标签: # 服务器# 账户# 攻击# 信息# 缺陷
但是,请记住,即使负责任地报告安全漏洞,最终也可能会对您采取法律行动。
一名独立的安全研究人员声称,在他负责任地揭露了一系列安全漏洞和配置缺陷,使他得以成功访问Facebook后,他受到了Facebook的威胁访问存储在Instagram服务器上的敏感数据,包括:
- Instagram网站源代码
- Instagram的SSL证书和私钥
- 用于签署身份验证cookie的密钥
- Instagram用户和员工的个人详细信息
- 电子邮件服务器凭据
- 六个以上关键功能的按键
然而,Facebook威胁要起诉这位研究人员,称其故意隐瞒研究团队的缺陷和信息,而不是向他支付报酬。
韦斯利·温伯格Synack的高级安全研究员,在他的一个朋友向他暗示位于sensu的一个潜在易受攻击的服务器后,他参与了Facebook的漏洞赏金计划,并开始分析Instagram系统。instagram。通用域名格式
研究人员发现了一个RCE(远程代码执行)它处理用户会话cookie的方式存在缺陷,这些cookie通常用于记住用户的登录详细信息。
远程代码执行错误可能是由于两个弱点:
- 服务器上运行的Sensu Admin web应用程序包含一个硬编码的Ruby秘密令牌
- 运行Ruby(3.x)版本的主机很容易通过Ruby会话cookie执行代码
利用该漏洞,Weinberg能够迫使服务器吐出一个数据库,其中包含Instagram和Facebook员工的登录详细信息,包括凭据。
虽然密码是用“bcrypt”加密的,但温伯格能够在几分钟内破解十几个非常脆弱的密码(如changeme、instagram、password)。
暴露了一切,包括你的自拍
温伯格并没有就此止步。他仔细查看了在服务器上找到的其他配置文件,发现其中一个文件包含亚马逊网络服务账户的一些密钥,该账户是用来托管Instagram Sensu设置的云计算服务。
这些键列出了82个Amazon S3存储桶(存储单元),但这些存储桶是独一无二的。他在该存储桶中的最新文件中没有发现任何敏感信息,但当他查看该文件的旧版本时,他发现了另一个密钥对,可以让他读取所有82个存储桶的内容。
温伯格无意中发现了几乎所有东西,包括:
- Instagram的源代码
- SSL证书和私钥(包括instagram.com和*.instagram.com)
- 用于与其他服务交互的API密钥
- Instagram用户上传的图片
- instagram上的静态内容。com网站
- 电子邮件服务器凭据
- iOS/Android应用程序签名密钥
- 其他敏感数据
“说我基本上获得了Instagram的所有秘密密钥材料,这可能是一个公平的声明。”温伯格在他的博客中写道。“有了我获得的密钥,我现在可以轻松地模拟Instagram,或任何有效的用户或工作人员。在超出范围的情况下,我可以轻松地获得对任何用户帐户、[个人]图片和数据的完全访问权限。”
负责任的披露,但Facebook威胁提起诉讼
Weinberg向Facebook的安全团队报告了他的发现,但这家社交媒体巨头担心,他在发现问题的同时访问了其用户和员工的私人数据。
温伯格没有因为自己的努力工作而从Facebook获得奖励,而是没有资格参加Facebook的臭虫奖励计划。
12月初,温伯格声称他的老板Synack首席执行官杰伊·卡普兰接到了Facebook安全总监的一个可怕电话亚历克斯·斯塔莫斯关于温伯格在Instagram中发现的弱点,这些弱点让Instagram和Facebook用户面临毁灭性的攻击。
斯塔莫斯“声明他不想让Facebook的法律团队参与进来,但他不确定这是否是他需要去执法部门解决的问题,”温伯格在他的博客中写了一段题为威胁和恐吓.'
作为回应,斯塔莫斯发表声明说,他“没有威胁对西纳克或(温伯格)采取法律行动,也没有要求解雇(温伯格)”
斯塔莫斯说,他只是告诉卡普兰“不要让双方的律师插手此事”
“纵容研究人员远远超出发现和修复关键问题所需的范围,将创造一个先例,可供那些旨在侵犯我们用户隐私的人使用,而合法安全研究人员的这种行为将危及付费漏洞奖金的未来。”斯塔莫斯补充道。
Facebook回应
在研究人员最初发表研究结果后,Facebook发表了回应,称这些说法是错误的,而且从来没有人告诉温伯格不要发表他的研究结果,而只是要求他不要披露他获取的非公开信息。
这家社交媒体巨头证实了sensu中存在远程代码执行漏洞。instagram。并承诺向Weinberg和他的朋友提供2500美元的漏洞奖励,他们最初暗示该服务器可以公开访问。
然而,允许Weinberg访问敏感数据的其他漏洞并不合格,Facebook称他在访问数据时侵犯了用户隐私。
以下是Facebook的完整声明:
我们是安全研究人员社区的坚定倡导者,并通过我们的漏洞赏金计划与数千人建立了积极的关系。然而,这些交互必须包括信任,这包括报告发现的漏洞的详细信息,并且不使用它们以未经授权的方式访问私人信息。在这种情况下,研究人员故意隐瞒了我们团队的漏洞和信息,并远远超出了我们从内部系统提取私人、非用户数据的程序指导原则。
虽然他不是第一个报告错误的人,但我们根据质量向他支付了最初错误报告的费用,但我们没有为他隐瞒的后续信息支付费用。我们从来没有说过他不能发表他的发现—;我们要求他不要披露违反我们项目指导方针而获取的非公开信息。我们仍然坚定地致力于为高质量的研究付费,并帮助社区从研究人员的辛勤工作中学习。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
