Így lehet 10 ezer dollárt keresni a Facebookkal

A Facebook nemrégen bemutatott szavazós funkciójába egy súlyos hiba csúszott. A sebezhetőség felfedezője tízezer dollárral gazdagodott.
 

A Facebook november elején jelentette be azt a lehetőséget, amelynek segítségével a felhasználók szavazás formájában tudakolhatják meg az ismerőseik véleményét. E funkció képek és GIF-állományok beszúrására is lehetőség ad. Ezáltal a felhasználók az idővonalaikon, bejegyzéseikben két válaszlehetőséget szavaztathatnak meg.


Forrás: Pouya Darabi
 
Amint az új funkció elérhetővé vált a közösségi oldalon, Pouya Darabi kutató azonnal belevetette magát az újdonság alapos biztonsági elemzésébe. Nem is kellett sok idő ahhoz, hogy egy veszélyes sérülékenységre derítsen fényt. Először azt vette észre, hogy amikor egy szavazást létrehoz, akkor a háttérben elküldött hálózati kérés manipulálásával tulajdonképpen bárkinek, bármelyik fényképet be tudja szúrni a Facebookról a szavazásba. Vagyis abba nem kizárólag a saját maga által feltöltött képeket tudta beilleszteni.


A manipulálható képazonosítók egy hálózati kérésben
Forrás: Pouya Darabi
 
A problémák ezzel még nem értek véget, sőt még csak ekkor kezdődtek a gondok. A szakember ugyanis úgy határozott, hogy a manipulált módon létrehozott szavazását törli az idővonaláról. Ekkor pedig nem mást vett észre, mint hogy a szavazást tartalmazó bejegyzésével együtt az a kép is törlődött, amelyet korábban beillesztett. Mindez mit jelent? Azt, hogy egy manipulált szavazás létrehozásával, majd eltávolításával bármilyen fénykép törölhető volt a Facebookról. Ehhez egy potenciális támadónak csak az adott kép azonosítóját kellett tudnia, és egyszerű eszközökkel elérhette (volna) a kiszemelt fényképek törlését.
 
Szerencsére a biztonsági hibára Darabi személyében egy etikus hacker figyelt fel, aki a Facebook előírásainak megfelelően jelezte és kezelte azt. Ennek köszönhetően 10 ezer dolláros jutalomban részesült. A szakember november 3-án jelentette a sérülékenységet, amelyre egy napon belül egy átmeneti hibajavítást adott ki a Facebook. November 5-én pedig a végleges javítást is megkapta a közösségi oldal.
 
Volt már ilyen
 
A Facebook esetében nem ez volt az első ilyen jellegű sérülékenység. Korábban kommentek és videók kapcsán is felmerültek már hasonló biztonsági hibák. Egyebek mellett Darabi is részesült már jutalomban az elmúlt években. 2015-ben 15 ezer, míg egy év múlva 7500 dollárt kasszírozott két facebookos sebezhetőség kimutatásával. (A Facebook az etikus hackereket jutalmazó programjának keretében 2011 óta több mint 5 millió dollárt fizetett ki a biztonsági kutatók számára.)
 
  1. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  2. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  3. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  4. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  5. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  6. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  7. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  8. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  9. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

  10. 3

    A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség