Yelp安全漏洞危及Facebook用户数据,“即时个性化”问题被低估
Facebook的“即时个性化(Instant Personalization)” 遇到一个新的安全问题,这次更可怕。网络安全顾问George Deglin在yelp上发现了一个漏洞,该漏洞允许恶意网站快速获得Facebook用户的姓名、email、以及和“所有人”分享的数据,无需在用户端进行任何操作。目前该漏洞已经得到修补,但问题依旧。 这个漏洞可以利用跨网站脚本(Cross Site Scripting)在Yelp中植入恶意代码。 这样的攻击不会对Facebook用户产生广泛影响,但Yelp是Facebook“即时个性化”产品三大合作伙伴之一。Yelp可以快速访问Facebook用户的大部分核心数据,无需登录或点击“Connect”按钮。大家一起来找茬:安全漏洞披露平台HackerOne获900万美元A轮融资
提供安全漏洞披露平台的HackerOne刚刚获得了由Benchmark提供的900万美元A轮融资。 HackerOne由前Facebook安全团队的负责人Alex Rice(现任CTO)与Merijn Terheggen(现任CEO)联合创建。其目标是在黑客与互联网公司之间搭建一个安全的漏洞报告平台,由互联网公司通过HackerOne展现或者开放自己的系统,让黑客在尊重隐私、不违反规则的前提寻找自己的安全漏洞并报告给对方。被发现漏洞的公司需要作出响应,并且以包括提供奖金、入选名人堂在内的适当形式表现感谢。 HackerOne的盈利模式是抽佣,如果被发现漏洞的公司赠予漏洞发现者奖金,则HackerOne会从中抽取20%的费用。