นักวิจัยรายงานช่องโหว่ในระบบ OpenID ของเฟซบุ๊ก ได้รับรางวัล 33,500 ดอลลาร์
-
- ผลการให้คะแนน
- 10
นักวิจัยรายงานช่องโหว่ในระบบ OpenID ของเฟซบุ๊ก ได้รับรางวัล 33,500 ดอลลาร์
Reginaldo Silva นักวิจัยความปลอดภัยคอมพิวเตอร์ ผู้ค้นพบบั๊กในโมดูล OpenID ของ Drupal เมื่อปี 2012 รายงานบั๊กในระบบ OpenID ของเฟซบุ๊ก ทำให้ผู้ใช้สามารถรันคำสั่งใดๆ ก็ได้บนเซิร์ฟเวอร์ของเฟซบุ๊ก (remote code execution) จากระดับความร้ายแรงของบั๊กทำให้เขาได้รับเงินรางวัล ถึง 33,500 ดอลลาร์ หรือประมาณหนึ่งล้านบาท
ทีมวิศวกรของเฟซบุ๊กแก้ปัญหานี้ภายในเวลาไม่กี่ชั่วโ มงหลังได้รับรายงาน โดย Silva บันทึกเวลาของการรายงานบั๊กนี้ทั้งหมดไว้ เมื่อวันที่ 19 พฤศจิกายนที่ผ่านมา เขารายงานบั๊กไปยังเฟซบุ๊กครั้งแรกและเกือบสองชั่วโม งต่อมาเฟซบุ๊กก็ติดต่อกลับมาซึ่งทาง Silva ส่งตัวอย่างการโจมตีไปให้ภายในสิบนาที ทีมงานแก้ปัญหาภายในสองชั่วโมงและตอบมาว่ากำลังนำขึ้ นระบบจริงภายในครึ่งชั่วโมง
กระบวนการที่ช้าคือการพิจารณาเงินรางวัล เฟซบุ๊กใช้เวลากว่าหนึ่งเดือนในการพิจารณาความร้ายแร งของปัญหา และตัดสินใจจัดเป็นบั๊กที่มีโอกาสจะเป็นบั๊ก remote code execution (RCE) โดยไม่ยอมรับว่าเป็นบั๊ก RCE ตรงๆ
ที่มา - Facebook, The Hacker News, Ubercomb
Security, Facebook
อ่านต่อ...
-
-
กฎการส่งข้อความ
- You may not post new threads
- You may not post replies
- You may not post attachments
- You may not edit your posts
-
Forum Rules
Bookmarks