Facebook 随意删照片 bug 发现者得到 12500 刀奖励
发布时间:2013-9-5 浏览:3150
一位 21 岁的男生酷玛(Kumar)发现了一个 Facebook 可随意删除照片的 bug,上报 bug 之后得到 Facebook 12500 美刀的奖励。该 bug 的发现需要一点细心,不需要太多技术。具体是这样的——
Facebook 允许用户举报其他用户照片,允许用户要求 Facebook 删除其他用户照片。这个政策的存在原因我们都可以想到啦,比如陈摄影师的照片如果开放给所有人浏览肯定是会被举报处理的。
Facebook 的照片举报政策非常贴心,在用户甲举报用户乙的某张照片之后,Facebook 会给用户乙发送一份通知,通知中会给出一个删除照片链接。Bug 就出在这份通知中,通知源代码中的'photo_id' (照片名)和 'Owners Profile_id'(照片上传者名字)可以随意更改。这意味着什么呢?意味着你想要删除任何人的任何照片都可以,只要你将通知代码更改,就可以得到删除照片链接,且照片删除之后不会发出任何通知,在照片主人不查看这张被删除照片的情况下,无人会发现已经有照片被删除。
酷玛将这个 bug 上报之后,得到 Facebook 12500 美刀奖励。Facebook 为奖励上报 bug 的同学们,两年支出一百万美金,一般情况下是比较慷慨的。少数情况下会表现吝啬,比如月前那位黑进扎克伯格主页上报 bug 的同学。