研究：臉書粉絲頁有安全漏洞，允許駭客接管任何粉絲頁

一名印度安全研究人員Arun Sureshkumar近日公布了一個藏匿在臉書（Facebook）企業管理平台（Business Manager）的安全漏洞，將允許駭客接管任何粉絲頁（Page），臉書已修補該漏洞，並提供了1.6萬美元的抓漏獎勵予Sureshkumar。

企業管理平台是臉書在2014年推出的服務，可供企業、廣告代理商或行銷人員在同一介面上集中管理粉絲頁、廣告帳號及付款方式。

根據Sureshkumar的描述，駭客只要透過不安全的直接物件參考就能繞過企業管理平台的認證機制並存取諸如資料庫記錄或檔案等系統資源，作法是先以既有的企業管理平台帳號新增另一個夥伴帳號，並攔截此一請求，之後就能變更所屬的粉絲頁，並取得粉絲頁的管理權限。

該漏洞讓駭客得以接管任何人的粉絲頁，從微軟創辦人比爾蓋茲到美國總統歐巴馬，而且能執行任何粉絲頁功能，包括刪除粉絲頁。

Sureshkumar在今年8月底將此一漏洞提交給臉書，臉書則於9月初修補，並在上周決定頒發1.6萬美元的抓漏獎金予Sureshkumar。