我们都知道 Facebook 很乐意向那些报告漏洞的用户支付数额最少为500美元的奖金；但你知道吗？近日，英国一位名叫 Jack Whitton 的男子却因为发现了可能涉及数百万用户账户安全的问题而得到 Facebook 两万美元的重奖 。Jack 于上月23日发现了这个漏洞，然后将其报告给 Facebook；5天后，这个漏洞被修复完好。

不过，Whitton 仍在他自己的博客中点明了问题所在：

Facebook 允许你将自己的手机号码与账户绑定以在必要时进行登录验证，也就是说，你会在手机上收到短信——而不是电子邮件收到验证码——来验证身份。

该缺陷位于 /ajax/setting/mobile/confirm_phone.php 端点。尽管它需要不同的参数，但其中两个最主要的只是代码；而它们是通过手机接收的验证码以及与账户（profile_id）所连接的电话号码。最重要的是，虽然 profile_id 与你的账户进行了绑定，但糟糕地是，即便有人蓄意改变了它，Facebook 也不会触发错误。

换句话说，黑客可能会利用这个漏洞蒙蔽 Facebook 的短信验证系统，并得到验证码以重置该账户密码。不过，Facebook 在接收到 Jack 的报道后还是以飞快的速度处理了这个问题。