Így lehet 10 ezer dollárt keresni a Facebookkal

A Facebook nemrégen bemutatott szavazós funkciójába egy súlyos hiba csúszott. A sebezhetőség felfedezője tízezer dollárral gazdagodott.
 
hirdetés
A Facebook november elején jelentette be azt a lehetőséget, amelynek segítségével a felhasználók szavazás formájában tudakolhatják meg az ismerőseik véleményét. E funkció képek és GIF-állományok beszúrására is lehetőség ad. Ezáltal a felhasználók az idővonalaikon, bejegyzéseikben két válaszlehetőséget szavaztathatnak meg.


Forrás: Pouya Darabi
 
Amint az új funkció elérhetővé vált a közösségi oldalon, Pouya Darabi kutató azonnal belevetette magát az újdonság alapos biztonsági elemzésébe. Nem is kellett sok idő ahhoz, hogy egy veszélyes sérülékenységre derítsen fényt. Először azt vette észre, hogy amikor egy szavazást létrehoz, akkor a háttérben elküldött hálózati kérés manipulálásával tulajdonképpen bárkinek, bármelyik fényképet be tudja szúrni a Facebookról a szavazásba. Vagyis abba nem kizárólag a saját maga által feltöltött képeket tudta beilleszteni.


A manipulálható képazonosítók egy hálózati kérésben
Forrás: Pouya Darabi
 
A problémák ezzel még nem értek véget, sőt még csak ekkor kezdődtek a gondok. A szakember ugyanis úgy határozott, hogy a manipulált módon létrehozott szavazását törli az idővonaláról. Ekkor pedig nem mást vett észre, mint hogy a szavazást tartalmazó bejegyzésével együtt az a kép is törlődött, amelyet korábban beillesztett. Mindez mit jelent? Azt, hogy egy manipulált szavazás létrehozásával, majd eltávolításával bármilyen fénykép törölhető volt a Facebookról. Ehhez egy potenciális támadónak csak az adott kép azonosítóját kellett tudnia, és egyszerű eszközökkel elérhette (volna) a kiszemelt fényképek törlését.
 
Szerencsére a biztonsági hibára Darabi személyében egy etikus hacker figyelt fel, aki a Facebook előírásainak megfelelően jelezte és kezelte azt. Ennek köszönhetően 10 ezer dolláros jutalomban részesült. A szakember november 3-án jelentette a sérülékenységet, amelyre egy napon belül egy átmeneti hibajavítást adott ki a Facebook. November 5-én pedig a végleges javítást is megkapta a közösségi oldal.
 
Volt már ilyen
 
A Facebook esetében nem ez volt az első ilyen jellegű sérülékenység. Korábban kommentek és videók kapcsán is felmerültek már hasonló biztonsági hibák. Egyebek mellett Darabi is részesült már jutalomban az elmúlt években. 2015-ben 15 ezer, míg egy év múlva 7500 dollárt kasszírozott két facebookos sebezhetőség kimutatásával. (A Facebook az etikus hackereket jutalmazó programjának keretében 2011 óta több mint 5 millió dollárt fizetett ki a biztonsági kutatók számára.)
Vélemények
 
  1. 3

    A Tenable SecurityCenter két sérülékenység miatt szorul frissítésre.

  2. 3

    A PostgreSQL fejlesztői egy biztonsági rést foltoztak be.

  3. 3

    A Juniper Junos egy hálózatkezelési hiba miatt eshet támadások áldozatává.

 
Partnerhírek
Beszállítótól kerülhettek volna ki a Tesla, Fiat, VW adatai

​Egy nagy szervezet adataihoz legkönnyebb partnerei kevésbé védett kapuin keresztül bejutni. Ez a tény nemrég egy sor autógyártó számára vált majdnem igazi rémálommá.

6 tipp a biztonságos nyaraláshoz

​Legyen az a Balaton vagy a horvát tengerpart, a legtöbben a nyaralásra is magukkal viszik az okostelefonjukat és akár a notebookjukat.

hirdetés
Közösség
1