Így lehet 25 ezer dollárt keresni a Facebookkal

Ha facebookozás közben Ön akadt volna erre a hibára, akkor most 25 ezer dollárral lenne gazdagabb.
 
hirdetés

A Facebookon is intenzíven zajlik a hibavadászat. A biztonsági rések után kutakodó szakemberek egyetlen funkciót sem hagynak figyelmen kívül, amikor sérülékenységek feltárásáról van szó. Ennek pedig a Facebook is örül, mivel így alaposabban tudja megtisztítani a rendszereit a biztonsági hibáktól. Ez pedig végső soron a felhasználók érdekeit szolgálja.
 
Az elmúlt napokban egy Samm0uda néven tevékenykedő fehérkalapos hacker számolt be arról, hogy egy olyan súlyos sebezhetőséget fedezett fel a közösségi oldalon, amivel végül 25 ezer dollár jutalmat érdemelt ki. A sérülékenységről január 26-án értesítette a Facebook illetékeseit, és január 31-én született meg a hibajavítás. Vagyis a szakember által feltárt sérülékenységet már nem lehet kihasználni, ezért egy részletesebb leírást is közzé tehetett a hibavadász.
 
A biztonsági kutató szerint a probléma a facebook.com/comet/dialog_DONOTUSE/ címről elérhető szolgáltatás (végpont) esetében volt kimutatható, és CSRF (Critical Cross-Site Request Forgery) típusú támadásokra adhatott lehetőséget. Ez pedig a gyakorlatban azt jelentette, hogy a potenciális támadó a sebezhetőség kihasználásával bármit kiposztolhatott a célkeresztbe állított felhasználói fiókhoz tartozó idővonalra, törölhette a profilképet, és ami a legrosszabb, akár a teljes fiókot. Szerencsére ez utóbbihoz azért egy extra felhasználói jóváhagyásra is szükség lett volna.
 
Samm0uda tájékoztatója szerint egy ilyen támadás végrehajtása nem volt különösebben nehéz feladat, legalábbis miután a biztonsági rés és az annak kihasználásához szükséges kódok megszülettek. Leginkább az jelentette a kihívást számára, hogy olyan támadási módszert dolgozzon ki, ami a lehető legkevesebb felhasználói közreműködéssel kivitelezhető. Végül addig sikerült finomítani a technikát, mígnem elégséges lett annyi, hogy a felhasználó rákattintson egy linkre.
 
A kidolgozott támadási módszer alapvetően arra volt alkalmas (amíg a biztonsági rés jelen volt a Facebook rendszerében), hogy a linkre való kattintást követően megváltoztathatóvá váljon a felhasználó e-mail címe és telefonszáma. Amennyiben ez sikerült, akkor onnantól kezdve a támadó tulajdonképpen teljes mértékben átvehette az adott profil feletti irányítást.
 
Miért pont 25 ezer?
 
A Facebook a hibavadász programjának keretében - sok más céghez hasonlóan - olyan jutalmazási rendszert alkalmaz, amely figyelembe veszi a feltárt sérülékenység kockázatait, veszélyességét és a hiba kihasználásának mikéntjét. Jelen esetben azért lett 25 ezer dollár a jutalom, mert a támadás felhasználói közreműködés nélkül nem hajtható végre, még akkor sem, ha csak egy linkre való kattintásra van szükség. Ha ez is mellőzhető lett volna, akkor 40 ezer dollár ütötte volna a biztonsági kutató markát.
 
A Facebook a hibavadászat 2011-es bevezetése óta több mint 7,5 millió dollárt fizetett ki a sérülékenységeket feltáró, külső szakemberek számára.
Vélemények
 
  1. 4

    A VirtualBoxhoz fontos hibajavítások váltak letölthetővé.

  2. 3

    A Comodo Antivirus esetében több biztonsági rés vár befoltozásra.

  3. 1

    A Fenkrib trójai nem közvetlenül okoz károkat a számítógépeken, hanem azon ártalmas programok révén, amelyeket letölt a PC-kre.

 
Partnerhírek
​Vírusok ihlette művészeti kiállítás nyílt Rotterdamban

Ha az elkövetkező időszakban Hollandiában, közelebbről Rotterdamban jártok, akkor feltétlenül keressétek fel a nem túl szokványos művészeti kiállítást, ahol a legrégebbi vírusok ihlette művészeti alkotásokban gyönyörködhetünk.

Windows sérülékenységet kihasználó kártevő a láthatáron

​Az ESET szakemberei nemrégiben fedeztek fel és elemeztek egy új 0-day sebezhetőséget kihasználó programot (exploit), amely kelet-európai célpontok ellen irányult.

hirdetés
Közösség
1