祖克伯 Facebook賬號又要被黑？臺灣天才駭客張啟元欲直播刪號過程

Guy Rosen還公佈了上述安全問題的一些其他技術細節。

本週早些時候，我們發現外部參與者攻擊了我們的系統並利用了一個漏洞，當我們推出“View As”功能的特定元件時，該漏洞會在HTML中為人們的帳戶暴露Facebook訪問令牌。該漏洞是三個不同錯誤相互作用的結果：

第一：View As是一種隱私功能，可讓人們看到其他人對自己個人資料的看法。 View As應該是一個僅檢視的介面。但是，對於一種型別的內容釋出者（允許你將內容釋出到Facebook的框）——特別是讓人們希望他們的朋友生日快樂的型別，使得View As錯誤地提供了釋出視訊的機會。

第二：2017年7月推出的我們的視訊上傳器的新版本（將作為第一個錯誤的結果呈現的介面）錯誤地生成了具有Facebook移動應用程式許可權的訪問令牌。

第三：當視訊上傳器作為View As的一部分出現時，它生成的訪問令牌不是為您作為檢視器，而是為您正在查詢的使用者。

正是這三個錯誤的組合成了一個漏洞：當使用“檢視為”功能將您的個人資料視為朋友時，程式碼並沒有刪除讓人們祝你生日快樂的作曲家;視訊上傳器會在不應該有的情況下生成訪問令牌;當生成訪問令牌時，它不適合您，而是被查詢的人。

然後，該頁面的HTML中提供了該訪問令牌，攻擊者可以將其提取並利用以另一個使用者身份登入。然後，攻擊者可以從該訪問令牌轉到其他帳戶，執行相同的操作並獲得進一步的訪問令牌。

Facebook表示，它正在大力投資未來的安全性，並將從事安全工作的人數從10,000人增加到20,000人。

祖克伯說，“安全是一場軍備競賽，我們正在繼續改善我們的防禦，”

臺灣天才駭客張啟元放話 週日直播刪除祖克伯個人Facebook賬號

無獨有偶，迫使9000萬Facebook使用者登出的漏洞公佈前，Facebook執行長祖克伯的個人賬號在幾天前被“臺灣天才駭客”張啟元盯上。

張啟元在一篇Facebook帖子中寫信給他的26,000名粉絲，承諾刪除Facebook創始人的賬號，並在Facebook Live上播放。

這位現年24歲的天才駭客，在2016 Line bugbash獎賞名人堂”中被列為“特殊貢獻者”。

就在今年9月18日，他還發現了蘋果Apple Pay的漏洞，只用1元就成功刷了500臺iPhone 8 Plus跟2臺iPhone XS MAX，總價值高達新臺幣1565萬5800元。

再回到這次聲稱週日直播，這並不是第一次和祖克伯交手了，2013年，19歲的他就因刪除祖克伯貼文、協助找出其漏洞而聲名大噪，獲獎金1000美元。

2015年，他還幫助臺灣一名自殺的藝人楊又穎家屬，解鎖她生前所用手機，再度被報導，但後續發現統聯和7-11購票系統漏洞，用1元買到車票或遊樂園門票，引發了各界正反兩面評價。

亦正亦邪，白帽 or 黑客似乎都無法定位張啟元。

這位古靈精怪的天才駭客在週四的時候釋出的貼文。這個姿勢是由於近日一俄羅斯女大學生展開了一項反對男性岔腿佔座運動——見到男乘客岔開腿佔空間，便直接將稀釋過的漂白水潑向其胯部。

天才駭客張啟元決定取消攻擊行動

美國東部時間9月28日，張啟元已經決定取消攻擊，他在一篇Facebook帖子中宣佈。 “我將取消我的直播，我已經向Facebook報告了這個錯誤，當我從Facebook獲得賞金時，我會出示證據。”

在週五的Facebook頁面上，張啟元表示他正在取消對Facebook執行長的攻擊並進行公告以避免不必要的麻煩。

張啟元在最近的一篇文章中寫道：

我不想成為一名合適的黑客，我根本不想成為一名黑客， 我只是覺得無聊並且試圖哄騙我賺錢。即使在我發現許多錯誤並獲得豐厚的賞金之後，仍會有很多人質疑我的能力，仍會有很多人質疑我的能力，我不應該試圖通過玩弄祖克伯的賬戶來證明自己。

Anyway，小扎可以好好過週末了~

參考來源：

The Verge

bloomberg

facebook

bugbounty.linecorp.com

- End -