Így lehet 10 ezer dollárt keresni a Facebookkal

A Facebook nemrégen bemutatott szavazós funkciójába egy súlyos hiba csúszott. A sebezhetőség felfedezője tízezer dollárral gazdagodott.
 
hirdetés
A Facebook november elején jelentette be azt a lehetőséget, amelynek segítségével a felhasználók szavazás formájában tudakolhatják meg az ismerőseik véleményét. E funkció képek és GIF-állományok beszúrására is lehetőség ad. Ezáltal a felhasználók az idővonalaikon, bejegyzéseikben két válaszlehetőséget szavaztathatnak meg.


Forrás: Pouya Darabi
 
Amint az új funkció elérhetővé vált a közösségi oldalon, Pouya Darabi kutató azonnal belevetette magát az újdonság alapos biztonsági elemzésébe. Nem is kellett sok idő ahhoz, hogy egy veszélyes sérülékenységre derítsen fényt. Először azt vette észre, hogy amikor egy szavazást létrehoz, akkor a háttérben elküldött hálózati kérés manipulálásával tulajdonképpen bárkinek, bármelyik fényképet be tudja szúrni a Facebookról a szavazásba. Vagyis abba nem kizárólag a saját maga által feltöltött képeket tudta beilleszteni.


A manipulálható képazonosítók egy hálózati kérésben
Forrás: Pouya Darabi
 
A problémák ezzel még nem értek véget, sőt még csak ekkor kezdődtek a gondok. A szakember ugyanis úgy határozott, hogy a manipulált módon létrehozott szavazását törli az idővonaláról. Ekkor pedig nem mást vett észre, mint hogy a szavazást tartalmazó bejegyzésével együtt az a kép is törlődött, amelyet korábban beillesztett. Mindez mit jelent? Azt, hogy egy manipulált szavazás létrehozásával, majd eltávolításával bármilyen fénykép törölhető volt a Facebookról. Ehhez egy potenciális támadónak csak az adott kép azonosítóját kellett tudnia, és egyszerű eszközökkel elérhette (volna) a kiszemelt fényképek törlését.
 
Szerencsére a biztonsági hibára Darabi személyében egy etikus hacker figyelt fel, aki a Facebook előírásainak megfelelően jelezte és kezelte azt. Ennek köszönhetően 10 ezer dolláros jutalomban részesült. A szakember november 3-án jelentette a sérülékenységet, amelyre egy napon belül egy átmeneti hibajavítást adott ki a Facebook. November 5-én pedig a végleges javítást is megkapta a közösségi oldal.
 
Volt már ilyen
 
A Facebook esetében nem ez volt az első ilyen jellegű sérülékenység. Korábban kommentek és videók kapcsán is felmerültek már hasonló biztonsági hibák. Egyebek mellett Darabi is részesült már jutalomban az elmúlt években. 2015-ben 15 ezer, míg egy év múlva 7500 dollárt kasszírozott két facebookos sebezhetőség kimutatásával. (A Facebook az etikus hackereket jutalmazó programjának keretében 2011 óta több mint 5 millió dollárt fizetett ki a biztonsági kutatók számára.)
Vélemények
 
  1. 3

    A Linux Kernel közepes veszélyességű hibája jogosulatlan rendszerhozzáférést tehet lehetővé.

  2. 1

    A ChaoPZ trójai elsősorban rendszerinformációkat lop, de azért a jelszavak sem kerülik el a figyelmét.

  3. 3

    A NetBSD fejlesztői két sebezhetőségről számoltak be.

 
Partnerhírek
G DATA vs. Tamás zsarolóvírusa

Kaptunk egy új zsarolóvírus mintát Tamástól, aki azt írta nekünk, hogy a VirusTotal szerint ezt az új kártevőt egy neves vírusirtó sem tudja megállítani.

Jól fizet a hibavadászat

A legjobban kereső etikus hackerek 2,7-szer jobban keresnek, mint a hazájukban dolgozó szoftverfejlesztő mérnökök – derült ki egy friss felmérésből.

hirdetés
Közösség
1