Солидное вознаграждение

Facebook выплатила белому хакеру 16 000$ за найденную уязвимость в Business Manager

Арун Сурешкумар (Arun Sureshkumar) индийский исследователь, специализирующийся на поиске ошибок и уязвимостей в конце прошлого месяца обнаружил баг, который позволял ему захватить любую страницу в социальной сети Фейсбук, о чем он незамедлительно сообщил представителям этой социальной сети.

Критическая уязвимость скрывалась в бесплатном  инструменте Business Manager от Facebook и относится к  виду небезопасных прямых ссылок на объекты, IDOR.  Дыра в защите возникла из-за некорректности обработки запросов в бизнес аккаунте,  Арун Сурешкумар смог обойти защиту авторизации и получить доступ к базе данных, после чего подменить параметр запроса.

Для успешного взлома ему понадобилось лишь два номера безнес-аккаунта, перехватив один запрос, он заменял его на другой, тем самым получал права редактора этого аккаунта и мог делать с ним что угодно, изменить удалить. Как заявил исследователь, такой трюк он мог провести с любой страницей в социальной сети, будь она обычного пользователя и президента США Барака Обамы.

В Фейсбук отреагировали мгновенно и пропатчили данную уязвимость, после чего несколько дней решали, какое вознаграждение выплатить  и остановились на сумме в 16 000 долларов. «Большая часть этой суммы — это оценка достоинств эксплойта, позволяющего осуществить захват страницы, однако, изучая ваш отчет, мы обнаружили и устранили еще одну проблему, поэтому размер награды был несколько увеличен» — так  описали обоснованность этой суммы специалисты из Фейсбук.

Это не первая находка индийского белого хакера, в апреле 15-года он рассказал о еще одной уязвимости в социальной сети, которая позволяла захватить контроль над страницей при помощи функции восстановления пароля, тогда его труды Фейсбук оценила в 10 000 долларов.