據(jù)外媒報道，一位名叫Anand Prakash的安全研究人員上個月發(fā)現(xiàn)了一項能影響到Facebook賬號安全的重大漏洞。這項安全漏洞可能被攻擊者通過暴力攻擊方式破解任意Facebook賬戶。Prakash發(fā)現(xiàn)后向Facebook漏洞報告頁面發(fā)送了這項漏洞，而Facebook公司也承認(rèn)該漏洞的存在并及時進(jìn)行了修復(fù)?；谠撀┒吹膰?yán)重性、影響范圍等其他因素，F(xiàn)acebook八天后決定獎勵Prakash15000美金。

當(dāng)Facebook用戶忘記自己的密碼時，F(xiàn)acebook允許他們通過“忘記密碼”流程重新取回賬戶。Facebook隨后會向用戶的手機(jī)發(fā)出一條6位驗證碼。在將該驗證碼輸入窗口后，用戶就能夠訪問自己的Facebook賬戶并重置密碼。

Prakash嘗試在“忘記密碼”窗口中以暴力攻擊方式破解這6位數(shù)字，并發(fā)現(xiàn)Facebook在將賬號鎖定之前允許用戶進(jìn)行12次嘗試。之后他又在Facebook beta測試頁面中進(jìn)行了嘗試，發(fā)現(xiàn)Facebook也沒有對輸入次數(shù)做出限制。這種情況下攻擊者可以對任何Facebook賬戶發(fā)動暴力破解。

Facebook在一份聲明中表示：“漏洞獎勵計劃的其中一個最有價值的好處就是能在問題爆發(fā)之前提前發(fā)現(xiàn)它。我們很高興因為Anand 的出色報告而對他進(jìn)行獎勵和表彰。 ”自2011年啟動漏洞獎勵計劃后，F(xiàn)acebook已獎勵800多名安全研究人員近430萬美金。