Las empresas de software y servicios sociales a menudo dependen de los cazadores de errores para descubrir vulnerabilidades en sus productos. Sin embargo, a veces ocurren malentendidos, y como en el caso actual, acciones legales pueden ser amenazados. Wesley Weinberg es un investigador senior de seguridad de SynAck.
Según lo informado por The Hacker News, Recientemente participó en el programa de recompensas de errores de Facebook, después de que uno de sus amigos le dio una pista sobre una vulnerabilidad potencial en sensu.instagram(.)con.
Una vulnerabilidad de ejecución remota de código en sensu.instagram(.)con
Esta es la forma Weinberg descubrió una ejecución remota de código (RCE) vulnerabilidad en la forma sensu.instagram(.)com procesado cookies de sesión, utilizado para recordar los detalles de inicio de sesión de usuario.
El error RCE podría ocurrir debido a dos cuestiones principales:
1. La aplicación web Sensu-administración que se ejecuta en el servidor contenía un elemento secreto Rubí no modificable.
2. El host que ejecuta una versión de Rubí (3.x) que era susceptible a la ejecución de código a través de la cookie de sesión Rubí.
Aquí está la parte interesante. Mediante la explotación de la vulnerabilidad, el investigador fue capaz de forzar al servidor para escupir una enorme base de datos que contiene los nombres de usuario y contraseñas de los empleados de las empresas de Instagram y Facebook. A pesar de que las contraseñas se protegieron con un cifrado de bcrypt, Weinberg se quebró fácilmente muchas contraseñas que eran débiles.
Probablemente sorprendido por este descubrimiento, Weinberg no quería dejar de, por lo que continuó con su investigación.
Luego investigó otros archivos de configuración que descubrió en sensu.instagram(.)servidor y de com descubrió que uno de los archivos contenidos claves para Amazon Web Services cuentas utilizadas por éste para albergar configuración Sensu de Instagram. Su investigación puso de manifiesto que las claves listadas 82 cubos únicos Amazon S3 (Unidades de almacenamiento). No había nada malo con el último archivo en el cubo. Sin embargo, una versión anterior contenía otro par de claves que le permitió leer el contenido de todos 82 cubos:
el código fuente de Instagram
certificados SSL y claves privadas (incluyendo por instagram.com y * .instagram.com)
claves de la API que se utilizan para interactuar con otros servicios
Las imágenes subidas por los usuarios de Instagram
El contenido estático desde el sitio web instagram.com
credenciales del servidor de correo electrónico
claves de firma / app Android iOS
La reacción de Facebook
Lógicamente, Weinberg continuó informar su hallazgo clave de equipo de seguridad de Facebook. Sin embargo, Facebook estaba más preocupado por el hecho de que el investigador accede a los empleados y los datos privados de los usuarios que con la propia vulnerabilidad. Facebook no sólo no le recompensa por su trabajo, sino que también lo descalificó de su programa de recompensas de errores.
Aquí está la declaración oficial dada por Facebook:
Somos firmes defensores de la comunidad investigadora seguridad y construido relaciones positivas con miles de personas a través de nuestro programa de recompensas de errores. Estas interacciones deben incluir la confianza, sin embargo, y que incluye la presentación de informes de los detalles de los insectos que se encuentran y no usarlos para acceder a información privada de forma no autorizada. En este caso, el investigador retenido intencionalmente errores e información de nuestro equipo y fue más allá de las directrices de nuestro programa para tirar privada, datos no usuarios de los sistemas internos.
Le pagamos por su informe inicial de error basado en la calidad, a pesar de que no fue el primero en informar de ello, pero no pagar por la información posterior que había retenido. En ningún momento dijimos que no podía publicar sus hallazgos - pedimos que se abstengan de divulgar la información no pública que accede en violación de nuestras directrices del programa. Seguimos firmemente comprometidos con el pago de la investigación de alta calidad y ayudar a la comunidad aprender de los investigadores’ trabajo duro.
Así, De qué lado estás?
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: