2018年01月18日，如果這家社交巨頭沒有及時修補漏洞，F(xiàn)acebook與Oculus頭顯的集成可能已經(jīng)為黑客劫持賬號打開了方便大門。

　　Oculus成立于2012年，他們最為人熟知的是Oculus Rift虛擬現(xiàn)實頭顯。在2014年3月，F(xiàn)acebook宣布他們將會收購Oculus VR，而交易在2014年7月正式完成。在2014年8月，F(xiàn)acebook將Oculus Rift納入了其白帽漏洞賞金計劃，并向報告漏洞的研究人員提供獎勵。從那以后，研究人員在Oculus服務中發(fā)現(xiàn)了多個漏洞，并因此獲取了2.5萬美元的獎勵。

　　在2017年10月，網(wǎng)絡安全顧問Josip Franjkovic決定研究Windows的Oculus應用(其允許本地Windows Oculus應用程序和瀏覽器接入Facebook帳戶以訪問更多的社交體驗)。

　　在他的研究中，F(xiàn)ranjkovic展示了黑客是如何利用特制的GraphQL查詢將用戶的Facebook賬戶連接至黑客的Oculus賬戶，并且獲取用戶的access_token(允許訪問Facebook的GraphQL端點)，從而劫持用戶的Facebook賬戶。借助特制的GraphQL查詢，黑客可以控制用戶的Facebook帳戶并更改帳戶電話號碼，然后重置帳戶的密碼。

　　Franjkovic在10月24日向Facebook報告了這一漏洞，而Facebook在同一天進行了一次臨時修復，其中涉及禁用facebook_login_ssoendpoint。此外，F(xiàn)acebook于10月30日推出了一個永久補丁。

　　但幾個星期后，F(xiàn)ranjkovic發(fā)現(xiàn)了一個登錄CSRF(跨站點請求偽造)漏洞。借助這個漏洞，黑客可以將用戶重定向至黑客選擇的一個Oculus URL，從而繞開Facebook的補丁。

　　Franjkovic在11月18日向Facebook報告了第二個漏洞，然后Facebook在同一天通過再次禁用facebook_login_sso端點進行了臨時修復。三周后，該公司推出了一個完整的補丁。

　　Franjkovic寫道：“解決方案是在/account_receivable/endpoint上實施CSRF檢查，并且添加一個額外的點擊來確認Facebook和Oculus帳戶之間的關聯(lián)。我相信這樣可以在不降低用戶體驗的情況下妥善修復漏洞。”

　　盡管Franjkovic沒有透露Facebook為他提供了多少獎勵，但這家社交網(wǎng)絡巨頭于上周透露(通過SecurityWeek)，他們在2017年向安全研究人員支付了88萬美元的漏洞報告獎金。