Így lehet 10 ezer dollárt keresni a Facebookkal

A Facebook nemrégen bemutatott szavazós funkciójába egy súlyos hiba csúszott. A sebezhetőség felfedezője tízezer dollárral gazdagodott.
 

A Facebook november elején jelentette be azt a lehetőséget, amelynek segítségével a felhasználók szavazás formájában tudakolhatják meg az ismerőseik véleményét. E funkció képek és GIF-állományok beszúrására is lehetőség ad. Ezáltal a felhasználók az idővonalaikon, bejegyzéseikben két válaszlehetőséget szavaztathatnak meg.


Forrás: Pouya Darabi
 
Amint az új funkció elérhetővé vált a közösségi oldalon, Pouya Darabi kutató azonnal belevetette magát az újdonság alapos biztonsági elemzésébe. Nem is kellett sok idő ahhoz, hogy egy veszélyes sérülékenységre derítsen fényt. Először azt vette észre, hogy amikor egy szavazást létrehoz, akkor a háttérben elküldött hálózati kérés manipulálásával tulajdonképpen bárkinek, bármelyik fényképet be tudja szúrni a Facebookról a szavazásba. Vagyis abba nem kizárólag a saját maga által feltöltött képeket tudta beilleszteni.


A manipulálható képazonosítók egy hálózati kérésben
Forrás: Pouya Darabi
 
A problémák ezzel még nem értek véget, sőt még csak ekkor kezdődtek a gondok. A szakember ugyanis úgy határozott, hogy a manipulált módon létrehozott szavazását törli az idővonaláról. Ekkor pedig nem mást vett észre, mint hogy a szavazást tartalmazó bejegyzésével együtt az a kép is törlődött, amelyet korábban beillesztett. Mindez mit jelent? Azt, hogy egy manipulált szavazás létrehozásával, majd eltávolításával bármilyen fénykép törölhető volt a Facebookról. Ehhez egy potenciális támadónak csak az adott kép azonosítóját kellett tudnia, és egyszerű eszközökkel elérhette (volna) a kiszemelt fényképek törlését.
 
Szerencsére a biztonsági hibára Darabi személyében egy etikus hacker figyelt fel, aki a Facebook előírásainak megfelelően jelezte és kezelte azt. Ennek köszönhetően 10 ezer dolláros jutalomban részesült. A szakember november 3-án jelentette a sérülékenységet, amelyre egy napon belül egy átmeneti hibajavítást adott ki a Facebook. November 5-én pedig a végleges javítást is megkapta a közösségi oldal.
 
Volt már ilyen
 
A Facebook esetében nem ez volt az első ilyen jellegű sérülékenység. Korábban kommentek és videók kapcsán is felmerültek már hasonló biztonsági hibák. Egyebek mellett Darabi is részesült már jutalomban az elmúlt években. 2015-ben 15 ezer, míg egy év múlva 7500 dollárt kasszírozott két facebookos sebezhetőség kimutatásával. (A Facebook az etikus hackereket jutalmazó programjának keretében 2011 óta több mint 5 millió dollárt fizetett ki a biztonsági kutatók számára.)
Vélemények
 
  1. 3

    Az Asterisk egy olyan hibát tartalmaz, amely az általa biztosított szolgáltatások összeomlását idézheti elő.

  2. 3

    Az Adobe a Photoshophoz egy biztonsági frissítést adott ki.

  3. 1

    Az Azorult trójai a Windows újraindításáig életképes, de addig rengeteg értékes adattól tudja megszabadítani a fertőzött számítógépet.

 
Partnerhírek
A G DATA csatlakozott a kiberbűnözés ellenes globális koalícióhoz

A Cybersecurity Tech Accord több mint 60 technológiai céget átfogó iparági kezdeményezés, melyhez most a G DATA is csatlakozott.

A bizalom az új valuta

Tudta, hogy ma egyetlen új autó informatikai rendszere legalább annyira összetett, mint egy teljes középvállalaté?

hirdetés
Közösség
1