Így lehet 25 ezer dollárt keresni a Facebookkal

Ha facebookozás közben Ön akadt volna erre a hibára, akkor most 25 ezer dollárral lenne gazdagabb.
 

A Facebookon is intenzíven zajlik a hibavadászat. A biztonsági rések után kutakodó szakemberek egyetlen funkciót sem hagynak figyelmen kívül, amikor sérülékenységek feltárásáról van szó. Ennek pedig a Facebook is örül, mivel így alaposabban tudja megtisztítani a rendszereit a biztonsági hibáktól. Ez pedig végső soron a felhasználók érdekeit szolgálja.
 
Az elmúlt napokban egy Samm0uda néven tevékenykedő fehérkalapos hacker számolt be arról, hogy egy olyan súlyos sebezhetőséget fedezett fel a közösségi oldalon, amivel végül 25 ezer dollár jutalmat érdemelt ki. A sérülékenységről január 26-án értesítette a Facebook illetékeseit, és január 31-én született meg a hibajavítás. Vagyis a szakember által feltárt sérülékenységet már nem lehet kihasználni, ezért egy részletesebb leírást is közzé tehetett a hibavadász.
 
A biztonsági kutató szerint a probléma a facebook.com/comet/dialog_DONOTUSE/ címről elérhető szolgáltatás (végpont) esetében volt kimutatható, és CSRF (Critical Cross-Site Request Forgery) típusú támadásokra adhatott lehetőséget. Ez pedig a gyakorlatban azt jelentette, hogy a potenciális támadó a sebezhetőség kihasználásával bármit kiposztolhatott a célkeresztbe állított felhasználói fiókhoz tartozó idővonalra, törölhette a profilképet, és ami a legrosszabb, akár a teljes fiókot. Szerencsére ez utóbbihoz azért egy extra felhasználói jóváhagyásra is szükség lett volna.
 
Samm0uda tájékoztatója szerint egy ilyen támadás végrehajtása nem volt különösebben nehéz feladat, legalábbis miután a biztonsági rés és az annak kihasználásához szükséges kódok megszülettek. Leginkább az jelentette a kihívást számára, hogy olyan támadási módszert dolgozzon ki, ami a lehető legkevesebb felhasználói közreműködéssel kivitelezhető. Végül addig sikerült finomítani a technikát, mígnem elégséges lett annyi, hogy a felhasználó rákattintson egy linkre.
 
A kidolgozott támadási módszer alapvetően arra volt alkalmas (amíg a biztonsági rés jelen volt a Facebook rendszerében), hogy a linkre való kattintást követően megváltoztathatóvá váljon a felhasználó e-mail címe és telefonszáma. Amennyiben ez sikerült, akkor onnantól kezdve a támadó tulajdonképpen teljes mértékben átvehette az adott profil feletti irányítást.
 
Miért pont 25 ezer?
 
A Facebook a hibavadász programjának keretében - sok más céghez hasonlóan - olyan jutalmazási rendszert alkalmaz, amely figyelembe veszi a feltárt sérülékenység kockázatait, veszélyességét és a hiba kihasználásának mikéntjét. Jelen esetben azért lett 25 ezer dollár a jutalom, mert a támadás felhasználói közreműködés nélkül nem hajtható végre, még akkor sem, ha csak egy linkre való kattintásra van szükség. Ha ez is mellőzhető lett volna, akkor 40 ezer dollár ütötte volna a biztonsági kutató markát.
 
A Facebook a hibavadászat 2011-es bevezetése óta több mint 7,5 millió dollárt fizetett ki a sérülékenységeket feltáró, külső szakemberek számára.
Vélemények
 
  1. 3

    A CoreFTP FTP és SFTP Server egy közepes veszélyességű sebezhetőséget tartalmaz.

  2. 3

    A Drupal fejlesztői egy biztonsági hibajavítást adtak ki.

  3. 1

    A Fakeslic trójai a felhasználók megtévesztésével próbál felkerülni a kiszemelt számítógépekre.

 
Partnerhírek
​Kiberbűnözés a dark weben

A kiberbűnözés 3 billió (milliószor millió) dolláros kiadást jelentett világszerte 2015-ben, és az előrejelzések szerint ez az összeg 2021-re 6 billióra emelkedik.

​Több millió autó(s) lehet veszélyben az okos riasztók miatt

Több millió autóba szerelték be olyan, mobiltelefonnal irányítható riasztókat, amelyek komoly biztonsági hibáik miatt nemhogy megvédik, de sokkal sérülékenyebbé teszik az autókat és az autósokat is.

hirdetés
Közösség
1