Így lehet 25 ezer dollárt keresni a Facebookkal
Ha facebookozás közben Ön akadt volna erre a hibára, akkor most 25 ezer dollárral lenne gazdagabb.A Facebookon is intenzíven zajlik a hibavadászat. A biztonsági rések után kutakodó szakemberek egyetlen funkciót sem hagynak figyelmen kívül, amikor sérülékenységek feltárásáról van szó. Ennek pedig a Facebook is örül, mivel így alaposabban tudja megtisztítani a rendszereit a biztonsági hibáktól. Ez pedig végső soron a felhasználók érdekeit szolgálja.
Az elmúlt napokban egy Samm0uda néven tevékenykedő fehérkalapos hacker számolt be arról, hogy egy olyan súlyos sebezhetőséget fedezett fel a közösségi oldalon, amivel végül 25 ezer dollár jutalmat érdemelt ki. A sérülékenységről január 26-án értesítette a Facebook illetékeseit, és január 31-én született meg a hibajavítás. Vagyis a szakember által feltárt sérülékenységet már nem lehet kihasználni, ezért egy részletesebb leírást is közzé tehetett a hibavadász.
A biztonsági kutató szerint a probléma a facebook.com/comet/dialog_DONOTUSE/ címről elérhető szolgáltatás (végpont) esetében volt kimutatható, és CSRF (Critical Cross-Site Request Forgery) típusú támadásokra adhatott lehetőséget. Ez pedig a gyakorlatban azt jelentette, hogy a potenciális támadó a sebezhetőség kihasználásával bármit kiposztolhatott a célkeresztbe állított felhasználói fiókhoz tartozó idővonalra, törölhette a profilképet, és ami a legrosszabb, akár a teljes fiókot. Szerencsére ez utóbbihoz azért egy extra felhasználói jóváhagyásra is szükség lett volna.
Samm0uda tájékoztatója szerint egy ilyen támadás végrehajtása nem volt különösebben nehéz feladat, legalábbis miután a biztonsági rés és az annak kihasználásához szükséges kódok megszülettek. Leginkább az jelentette a kihívást számára, hogy olyan támadási módszert dolgozzon ki, ami a lehető legkevesebb felhasználói közreműködéssel kivitelezhető. Végül addig sikerült finomítani a technikát, mígnem elégséges lett annyi, hogy a felhasználó rákattintson egy linkre.
A kidolgozott támadási módszer alapvetően arra volt alkalmas (amíg a biztonsági rés jelen volt a Facebook rendszerében), hogy a linkre való kattintást követően megváltoztathatóvá váljon a felhasználó e-mail címe és telefonszáma. Amennyiben ez sikerült, akkor onnantól kezdve a támadó tulajdonképpen teljes mértékben átvehette az adott profil feletti irányítást.
Miért pont 25 ezer?
A Facebook a hibavadász programjának keretében - sok más céghez hasonlóan - olyan jutalmazási rendszert alkalmaz, amely figyelembe veszi a feltárt sérülékenység kockázatait, veszélyességét és a hiba kihasználásának mikéntjét. Jelen esetben azért lett 25 ezer dollár a jutalom, mert a támadás felhasználói közreműködés nélkül nem hajtható végre, még akkor sem, ha csak egy linkre való kattintásra van szükség. Ha ez is mellőzhető lett volna, akkor 40 ezer dollár ütötte volna a biztonsági kutató markát.
A Facebook a hibavadászat 2011-es bevezetése óta több mint 7,5 millió dollárt fizetett ki a sérülékenységeket feltáró, külső szakemberek számára.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
-
A Microsoft Edge legújabb verziója számos sebezhetőséget szüntet meg.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.