Genç hacker, saldırganların sayfa yöneticilerinin profilini bulmasına izin veren Facebook kusuru için 4.500 dolarlık hata ödülü aldı!
19 yaşındaki Nepalli bir bilgisayar korsanı, kullanıcıların sayfa yöneticilerinin kimliğini ortaya çıkarmasına izin veren, kullanımı kolay bir güvenlik açığını keşfettikten sonra 4.500 dolarlık bir hata ödülü aldı.
Facebook Sayfaları işletmeler, markalar ve kuruluşlar için etkileşim merkezleri olarak kullanılır. Yöneticilerin her zaman görünür olduğu Facebook Gruplarından farklı olarak bu sayfaların sahipleri gizli tutulmaktadır.
Güvenlik açığı bulunan uç nokta
Etik hacker Sudip Shah, Android için Facebook uygulamasını araştırdıktan sonra, bir saldırganın bir sayfa yöneticisinin kimliğini ifşa etmesine izin verebilecek güvenli olmayan bir doğrudan nesne referansı (IDOR) güvenlik açığı keşfetti.
İstismarın çalışması için hedef sayfada en az bir Facebook Live videosu olması gerekiyordu.
The Daily Swig'e konuşan Shah, "Facebook Android'de herhangi bir sayfanın canlı video bölümüne müdahale ederken ve bu bölümde gezinirken savunmasız bir uç nokta buldum" dedi. "Bir istekteki page_id, herhangi bir page_id olarak değiştirildiğinde, o zaman, yayıncı_id parametresindeki yanıtta sayfa yöneticisi ifşa edilir."
Araştırmacı şunları ekledi: "Bu, bir komut dosyası oluşturarak ve yeni bir metin dosyasına yanıt olarak yayıncı_id'den yönetici bilgilerini alarak çok sayıda sayfanın yönetici bilgilerini almak için daha da yükseltilebilir."
Güvenlik açığının potansiyel etkisini tartışan Shah, “Sayfa ve kişisel kimlikler tamamen farklı şeylerdir ve herhangi bir Facebook sayfasının sayfa yöneticisinin bilinmemesi gerekiyor. “Birisi yöneticinin kişisel hesabını bulursa, bu ciddi bir bilgi ifşa hatasıdır. Örneğin, birçok ünlü ve devasa kişilik Facebook sayfaları aracılığıyla faaliyet gösteriyor, bu nedenle kişisel Facebook hesapları ifşa edilirse, bu onların kişisel telefon numaralarını almak gibidir, bu onların mahremiyeti için büyük bir sorundur.”
"Hatayı 5 Ekim 2021'de Facebook güvenlik ekibine bildirdim ve 'Güzel keşif :)' yanıtı verdiler ve 7 Ekim'deki raporumu triyajladılar ve daha fazla test yapmaktan kaçınmamı söylediler. "Bu güvenlik açığını 21 Ekim'de düzelttiler ve 5 Kasım'da 4,500 dolar kazandım. Facebook'ta bulduğum ilk yüksek etkili hatam olduğu için gerçekten mutlu oldum."
The Daily Swig'den gelen bir sorguya yanıt veren Meta sözcüsü, güvenlik açığının Facebook'un Android uygulamasında giderildiğini doğruladı ve araştırmacıya koordineli açıklaması için teşekkür etti.
Shah şu anda Facebook'un hata ödülü Onur Listesi'nde 38. sırada. En son bulgularını bir Medium gönderisinde detaylandırdı.