安全研究员与Facebook争论Instagram漏洞披露

安全研究员Wesley Wineberg发表了一篇博客，描述了他参加Facebook Bug悬赏项目的经历：他在Facebook子公司Instagram的系统中发现了三个严重漏洞，利用漏洞他能获取Instagram的源代码、SSL证书和托管云服务商亚马逊的AWS私钥，能不受限制的访问Instagram雇员和任意用户的账号。但他的行为被Facebook指责侵犯用户隐私，威胁对他采取法律行动。Wineberg是根据Instagram使用的开源软件Sensu-Admin，从源代码找到硬编码的秘密令牌，发现Instagram的服务器存在相同问题后成功入侵的，他下载了加密的Instagram雇员密码，破解后发现该公司雇员使用了弱密码：6个人的密码是changeme，3个人的密码与用户名相同，2个人的密码是password，还有1个人是instagram。他报告的第一个漏洞收到了2500美元赏金，但后续漏洞披露遭到了Facebook的指责，称他未经授权获取雇员数据和用户数据的做法不当。但Wineberg坚持认为他遵守了 Bug悬赏的规则。Facebook直接通知了Wineberg的雇主，上司就此事打电话给他让他倍感震惊。