一個 bug 可能造成的影響難以預估,小則沒有任何人發現,天下太平;大則可能造成公司無法預估的所失,甚至整個公司停擺。因此,許多大型的科技公司都會推出所謂的「bug bounty」。顧名思義就是以獎金的方式鼓勵外部資安人士前來找尋公司的資安漏洞。如 Facebook、Google、Uber 都有這樣的機制存在。
台灣資安研究員成功找到 Facebook 的 bug!
任職於資安公司戴夫寇爾(DEVCORE)的 Orange Tsai,於今年二月挖掘到 Facebook 伺服器被植入後門程式用以記錄 Facebook 的員工資料與帳號密碼以及其他漏洞,回報 Facebook 後成功獲得認可,獲得總計 1 萬美元的獎金。
根據 BBC 的報導,當 Orange Tsai 第一次看到被植入的後門程式,他認為這是個非常嚴重的資安問題。Facebook 方面雖然承認 Orange Tsai 所挖掘出來的後門程式存在,卻表示 Orange Tsai 所發現的並不是駭客所植入的後門,而是另一組參與 Bug Bounty 團隊所留下來的痕跡,也再次強調並沒有任何使用者的帳密因此被外洩。
找尋漏洞與發現後門程式全記錄
而 Orange Tsai 也在 Facebook 的同意之下,將這次行動的細節完整地記錄於 DEVCORE 的部落格上。對我來說雖然每個字都認識,讀起來卻依然像天書一樣難懂,不過在 Orange Tsai 幽默詼諧的風格帶領之下,也可以一步一步地了解駭客世界中的一小角落。
節錄一小段像是:
從伺服器中的日誌可以發現有兩個時間點是明顯駭客在操作系統的時間,一個是七月初、另個是九月中旬。
七月初的動作從紀錄中來看起來比較偏向 逛 伺服器,但九月中旬的操作就比較惡意了,除了逛街外,還放置了密碼 Logger 等,至於兩個時間點的 駭客 是不是同一個人就不得而知了 😛
有興趣的人非常建議可以到 DEVCORE 的部落格 閱讀這次的全記錄。
(參考資料:BBC NEWS、DEVCORE 部落格;圖片來源:LoboStudioHamburg。)