Software-Unternehmen und soziale Dienste verlassen sich oft auf Fehler Jäger Lücken in ihren Produkten zu entdecken. Jedoch, manchmal Missverständnisse passieren, und wie im vorliegenden Fall, Klagen können gefährdet sein. Wesley Weinberg ist ein leitender Sicherheitsforscher bei SYNACK.
Wie von The Hacker berichtet Nachrichten, beteiligte er sich kürzlich in Facebook-Bug Bounty Programm, nachdem einer seiner Freunde gab ihm sensu.instagram einen Hinweis auf eine potenzielle Schwachstelle in(.)mit.
Eine Remotecodeausführung in sensu.instagram(.)mit
Dies ist, wie Weinberg eine Remotecodeausführung entdeckt (RCE) Schwachstelle in der Art und Weise sensu.instagram(.)com verarbeitet Session-Cookies, merken Benutzer Login-Daten verwendet.
Der RCE Fehler passieren könnte, weil zwei Hauptfragen:
1. Der Sensu-Admin-Web-App auf dem Server ausgeführt enthielt eine hartcodierte Rubin geheime Token.
2. Der Host eine Version von Ruby läuft (3.x) das war anfällig für die Ausführung von Code über den Ruby-Session-Cookie.
Hier ist der interessante Teil. Durch die Sicherheitsanfälligkeit ausnutzt, Der Forscher konnte den Server zwingen, eine enorme Datenbank mit Instagram und Facebook Benutzernamen und Passwörter von der Unternehmen Mitarbeiter auszuspucken. Auch wenn die Passwörter wurden mit einer bcrypt Verschlüsselung geschützt, Weinberg leicht geknackt viele Passwörter, die schwach waren,.
Wahrscheinlich durch diese Entdeckung betäubt, Weinberg wollte nicht aufhören, so fuhr er fort, mit seiner Forschung.
Er untersucht dann andere Konfigurationsdateien er auf sensu.instagram entdeckt(.)com Server und entdeckt, dass eine der Dateien enthaltenen Schlüssel für Amazon Web Services von diesen Konten für Instagram des Sensu Setup Gastgeber. Seine Untersuchung ergab dann, dass die Schlüssel aufgelistet 82 Amazon s3 einzigartiger Eimer (Speichereinheiten). Es gab nichts falsch mit der neuesten Datei im Eimer. Jedoch, eine ältere Version enthalten ist ein weiteres Schlüsselpaar, das ihm ermöglicht, den Inhalt aller zu lesen 82 Eimer:
Instagram Quellcode
SSL-Zertifikate und private Schlüssel (einschließlich für instagram.com und * .instagram.com)
API-Schlüssel, die für die Interaktion mit anderen Diensten verwendet werden,
Bilder hochgeladen wurde von Instagram Benutzer
Statische Inhalte von der Website instagram.com
E-Mail-Server-Anmeldeinformationen
iOS / Android App Signierungsschlüsseln
Facebook-Reaktion
Logisch, Weinberg ging, um seine wichtige Erkenntnis zu Facebook Sicherheitsteam auf Berichterstattung. Jedoch, Facebook war mehr mit der Tatsache, dass die Forscher Mitarbeiter und private Benutzerdaten als mit der Verwundbarkeit zugegriffen selbst. Nicht nur Facebook hat ihn nicht für seine Arbeit belohnen, aber sie disqualifiziert ihn auch von ihrer Bug Bounty Programm.
Hier ist die offizielle Erklärung gegeben durch Facebook:
Wir sind starke Befürworter der Sicherheitsforschers Gemeinschaft und haben positive Beziehungen mit Tausenden von Menschen durch unsere Bug Bounty Programm gebaut. Diese Wechselwirkungen müssen Vertrauen umfassen, jedoch, und das schließt die Details Fehler melden, die gefunden werden und sie nicht mit privaten Informationen in unzulässiger Weise zuzugreifen. In diesem Fall, die Forscher vorenthalten absichtlich Bugs und Informationen aus unserem Team und ging weit über die Leitlinien unseres Programms privat zu ziehen, Nichtbenutzerdaten von internen Systemen.
Wir zahlten ihn für seinen anfänglichen Fehlerbericht auf der Grundlage der Qualität, obwohl er war nicht die erste, darüber zu berichten, aber wir haben nicht für die nachfolgenden Informationen bezahlen, dass er zurückgehalten hatte,. Zu keinem Zeitpunkt haben wir gesagt er nicht seine Ergebnisse veröffentlichen konnte - wir, dass er von der Beschreibung der nicht-öffentlichen Informationen verzichten, fragte er in Verletzung unserer Programmrichtlinien abgerufen. Wir bleiben fest entschlossen, für qualitativ hochwertige Forschung zu zahlen und helfen, die Gemeinschaft lernen von Forschern’ harte Arbeit.
So, auf welcher Seite bist du?
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: