Kāds datoru drošības pētnieks vārdā Bens Sadeghipurs (Ben Sadeghipour) paveica to, ko daudzi kiberdrošības profesionāļi uzskata par īstu meistarstiķi.Viņš atklāja nopietnu ievainojamību Facebook iekšējos serveros, kas ļāva viņam. saņēma 100 000 ASV dolāru balvu no Metauzņēmums, kam pieder šis sociālais tīkls.
Sadeghipurs analizēja Facebook reklāmas platformu, kad atklāja kļūdu, kas ļāva viņam izpildīt komandas vienā no uzņēmuma iekšējiem serveriem, nodrošinot pilnīgu kontroli pār to.
Kā viņš paskaidroja, problēma radās no iepriekš zināmas un novērstas kļūdas pārlūkprogrammā Chrome, ko Facebook izmanto savā reklāmas sistēmā. Tomēr sociālā tīkla reklāmu serveris joprojām bija neaizsargāts, jo tas nebija pienācīgi atjaunināts.
Izmantojot šo piekļuvi, Sadeghipour varēja izmantot kļūdu, lai mijiedarbotos ar pārējo Facebook iekšējo infrastruktūru. “Bīstamu to padara tas, ka tā, iespējams, bija daļa no iekšējās infrastruktūras,” pētnieks sacīja TechCrunch.
Meta samaksāja jums, lai identificētu ievainojamību tās reklāmas platformā
Lai gan viņš izvēlējās sīkāk nepaskaidrot, kādas darbības viņš varētu būt veicis serverī, viņš paskaidroja, ka šī ievainojamība būtu ļāvusi iegūt datus vai apiet noteiktus platformas drošības pasākumus.
Uzreiz pēc problēmas konstatēšanas pētnieks iesniedza ziņojumu uzņēmumam Meta, norādot, ka nepilnība ir steidzami jānovērš. “Domāju, ka to varētu vēlēties novērst, jo tas ir tieši jūsu infrastruktūrā,” viņš rakstīja savā ziņojumā.
Meta ātri reaģēja uz šo konstatējumu, pieprasīja atturēties no turpmākas testēšanas, kamēr tiek novērsta problēma.kas aizņēma nedaudz vairāk nekā stundu.
Sadeghipour strādāja pie šī ziņojuma kopā ar neatkarīgo pētnieku Alex Chapman. Pēc viņa teiktā, tiešsaistes reklāmas platformas bieži vien ir pievilcīgs kiberuzbrukumu mērķis, jo tajās tiek apstrādāts liels datu apjoms, piemēram, video, teksts un attēli. Tas paver vairākas iespējas potenciālām ievainojamībām.
Meta maksā atkarībā no identificētās kļūdas smaguma
Meta atlīdzība ne tikai novērtē viņu pūles, bet arī pastiprina “kļūdu atlīdzības” programmu nozīmi, kurās ārējie pētnieki palīdz atklāt kritiskas kļūdas, pirms tās izmanto ļaunprātīgi dalībnieki.
Ziņošana par ievainojamību uzņēmumam Meta ir strukturēts process, kas ir daļa no tā kļūdu novēršanas programmas. Šī programma mudina kiberdrošības pētniekus atbildīgi ziņot par ievainojamībām, pirms tās var tikt izmantotas.
Pirmais solis ziņojuma sagatavošanā ir apstiprināt un dokumentēt ievainojamību. Ir svarīgi kļūdu reproducēt, lai pārliecinātos, ka tā ir likumīga un nav atsevišķs gadījums.
Šī procesa laikā ir svarīgi savākt detalizētus pierādījumus, piemēram, ekrānšāviņus, koda paraugus vai jebkādus tehniskus pierādījumus, kas pamato konstatējumu. Turklāt ir svarīgi rīkoties ētiski un nemēģināt piekļūt sensitīviem datiem vai izmantot kļūdu vairāk, nekā tas ir nepieciešams tās apstiprināšanai.
Meta programmas, kas paredzēta kļūdu ziņošanai, nosaukums ir Bug Bounty (Meta).
Kad ievainojamība ir apstiprināta, nākamais solis ir piekļūt oficiālajam Meta drošības programmas portālam, kas ir pieejams vietnē No turienes var aizpildīt veidlapu, lai iesniegtu ziņojumu.
Tajā jāiekļauj skaidrs ievainojamības apraksts, precīzs ievainojamības reproducēšanas process, savāktie pierādījumi un paskaidrojums par trūkuma iespējamo ietekmi. Piemēram, tajā sīki jānorāda, kā to var izmantot un kādus riskus tā rada lietotājiem vai Meta infrastruktūrai.
Ir svarīgi ievērot programmas noteikumus. Tie ietver nepieļaušanu lietotāju datiem, platformas pakalpojumu netraucēšanu un atturēšanos no turpmākas testēšanas pēc ziņojuma iesniegšanas. Pēc ziņojuma saņemšanas Meta drošības komanda izvērtēs informāciju, noteiks pārkāpuma nopietnību un, ja nepieciešams, informēs izmeklētāju par rezultātu.
Ja atklājums ir pamatots, Meta piešķir finansiālu atlīdzību, pamatojoties uz ievainojamības ietekmi un nopietnību. Tās var būt no simtiem dolāru līdz ievērojamām summām, piemēram, 100 000 dolāru. pētnieks Bens Sadeghipurs saņēma par kritiskas nepilnības atklāšanu 2024. gada oktobrī.
