Így lehet 25 ezer dollárt keresni a Facebookkal

Ha facebookozás közben Ön akadt volna erre a hibára, akkor most 25 ezer dollárral lenne gazdagabb.
 

A Facebookon is intenzíven zajlik a hibavadászat. A biztonsági rések után kutakodó szakemberek egyetlen funkciót sem hagynak figyelmen kívül, amikor sérülékenységek feltárásáról van szó. Ennek pedig a Facebook is örül, mivel így alaposabban tudja megtisztítani a rendszereit a biztonsági hibáktól. Ez pedig végső soron a felhasználók érdekeit szolgálja.
 
Az elmúlt napokban egy Samm0uda néven tevékenykedő fehérkalapos hacker számolt be arról, hogy egy olyan súlyos sebezhetőséget fedezett fel a közösségi oldalon, amivel végül 25 ezer dollár jutalmat érdemelt ki. A sérülékenységről január 26-án értesítette a Facebook illetékeseit, és január 31-én született meg a hibajavítás. Vagyis a szakember által feltárt sérülékenységet már nem lehet kihasználni, ezért egy részletesebb leírást is közzé tehetett a hibavadász.
 
A biztonsági kutató szerint a probléma a facebook.com/comet/dialog_DONOTUSE/ címről elérhető szolgáltatás (végpont) esetében volt kimutatható, és CSRF (Critical Cross-Site Request Forgery) típusú támadásokra adhatott lehetőséget. Ez pedig a gyakorlatban azt jelentette, hogy a potenciális támadó a sebezhetőség kihasználásával bármit kiposztolhatott a célkeresztbe állított felhasználói fiókhoz tartozó idővonalra, törölhette a profilképet, és ami a legrosszabb, akár a teljes fiókot. Szerencsére ez utóbbihoz azért egy extra felhasználói jóváhagyásra is szükség lett volna.
 
Samm0uda tájékoztatója szerint egy ilyen támadás végrehajtása nem volt különösebben nehéz feladat, legalábbis miután a biztonsági rés és az annak kihasználásához szükséges kódok megszülettek. Leginkább az jelentette a kihívást számára, hogy olyan támadási módszert dolgozzon ki, ami a lehető legkevesebb felhasználói közreműködéssel kivitelezhető. Végül addig sikerült finomítani a technikát, mígnem elégséges lett annyi, hogy a felhasználó rákattintson egy linkre.
 
A kidolgozott támadási módszer alapvetően arra volt alkalmas (amíg a biztonsági rés jelen volt a Facebook rendszerében), hogy a linkre való kattintást követően megváltoztathatóvá váljon a felhasználó e-mail címe és telefonszáma. Amennyiben ez sikerült, akkor onnantól kezdve a támadó tulajdonképpen teljes mértékben átvehette az adott profil feletti irányítást.
 
Miért pont 25 ezer?
 
A Facebook a hibavadász programjának keretében - sok más céghez hasonlóan - olyan jutalmazási rendszert alkalmaz, amely figyelembe veszi a feltárt sérülékenység kockázatait, veszélyességét és a hiba kihasználásának mikéntjét. Jelen esetben azért lett 25 ezer dollár a jutalom, mert a támadás felhasználói közreműködés nélkül nem hajtható végre, még akkor sem, ha csak egy linkre való kattintásra van szükség. Ha ez is mellőzhető lett volna, akkor 40 ezer dollár ütötte volna a biztonsági kutató markát.
 
A Facebook a hibavadászat 2011-es bevezetése óta több mint 7,5 millió dollárt fizetett ki a sérülékenységeket feltáró, külső szakemberek számára.