关键性的瑕疵是Facebook当中三个试验网页的“忘掉公钥”机能。当使用者点选忘掉公钥，Facebook容许透过“忘掉公钥”操作过程来恢复正常您的帐户。Facebook会透过使用者号码或电子邮件门牌号推送三个6位位数接收者。当您在询问处中输出此接收者，您就能出访您的FB账号并抹除公钥了。

　　科学研究相关人员Shahdol企图找寻在忘掉公钥中提供更多的6位接收者并试著暴力行为猜解，他辨认出，在暴力行为补齐中有可能被瞄准，透过试验辨认出能试著猜解12次。

　　Shahdol企图在Facebook上试验页，beta.facebook.com和mbasic.beta.facebook.com继续执行完全相同的 操作方式。随即，他辨认出以内试著的这三个试验版的Facebook网页猜解数目没管制。假如没管制，就容许科学研究相关人员策动暴力行为猜解进而抹除任何人 Facebook帐户公钥。

Shahdol报导，2016年2月22日，该安全可靠漏洞递交Facebook的安全可靠项目组并证实了安全可靠漏洞，2月23日顺利完成复原。

　　Facebook给Shahdol授与$ 15,000猎人，上面由研究者发布的PoC音频

：

比特币冠名红包门牌号：13sbdFRyFBeqmXY9GJQf66s5cwmvLvWaAD

----------------------------------

要闻、干货、原创、专业

关注“黑白之道” 微信：i77169