Les sociétés de logiciels et les services sociaux font souvent appel à des chasseurs de bugs pour découvrir des vulnérabilités dans leurs produits. Cependant, parfois des malentendus se produisent, et comme dans le cas actuel, actions en justice peuvent être menacées. Wesley Weinberg est un chercheur en sécurité senior chez SynAck.
Tel que rapporté par The Hacker Nouvelles, il a récemment participé à bug du programme de primes de Facebook, après un de ses amis lui a donné un indice sur une vulnérabilité potentielle dans sensu.instagram(.)avec.
Un code à distance vulnérabilité d'exécution dans sensu.instagram(.)avec
Voici comment une exécution Weinberg a découvert de code à distance (RCE) Une vulnérabilité dans la façon sensu.instagram(.)les cookies de session com traités, utilisé pour se souvenir des détails de connexion utilisateur.
Le bug pourrait se produire en raison RCE de deux questions principales:
1. L'application Web Sensu-Admin en cours d'exécution sur le serveur contenait un jeton secret Ruby codé en dur.
2. L'hôte exécutant une version de Ruby (3.x) qui était sensible à l'exécution de code via le cookie de session Ruby.
Voici la partie intéressante. En exploitant la vulnérabilité, le chercheur a pu forcer le serveur à cracher sur une énorme base de données contenant les noms d'utilisateur Facebook et Instagram et mots de passe des employés des entreprises. Même si les mots de passe ont été protégés par un cryptage bcrypt, Weinberg facilement craqué beaucoup de mots de passe qui étaient faibles.
Probablement étourdi par cette découverte, Weinberg ne voulait pas arrêter, donc il a poursuivi ses recherches.
puis il a étudié d'autres fichiers de configuration, il a découvert sur sensu.instagram(.)le serveur de com et a découvert que l'un des fichiers contenus clés pour les comptes Amazon Web Services utilisés par ce dernier pour accueillir la configuration Sensu Instagram. Son enquête a ensuite révélé que les clés énumérées 82 Amazon seaux uniques (unités de stockage). Il n'y avait rien de mal avec le dernier fichier dans le seau. Cependant, une ancienne version contenait une autre paire de clés qui lui permet de lire le contenu de tous 82 seaux:
Le code source de instagram
Les certificats SSL et clés privées (y compris pour instagram.com et * .instagram.com)
clés API qui sont utilisées pour interagir avec d'autres services
Images téléchargées par les utilisateurs Instagram
Le contenu statique du site instagram.com
les informations d'identification de serveur de messagerie
clés de signature iOS / Android app
Réaction Facebook
Logiquement, Weinberg a poursuivi en rapportant ses principales conclusions à l'équipe de sécurité de Facebook. Cependant, Facebook était plus préoccupé par le fait que le chercheur accès à des employés et des données privées des utilisateurs que de la vulnérabilité elle-même. Non seulement Facebook ne lui récompense pour son travail, mais ils ont aussi l'disqualifié de leur programme de primes bug.
Voici la déclaration officielle donnée par Facebook:
Nous sommes d'ardents défenseurs de la communauté des chercheurs de sécurité et ont construit des relations positives avec des milliers de personnes à travers notre programme de primes bug. Ces interactions doivent inclure la confiance, cependant, et qui comprend les détails des rapports de bogues trouvés et ne pas les utiliser pour accéder à des informations privées d'une manière non autorisée. Dans ce cas, le chercheur retenu intentionnellement des bugs et des informations de notre équipe et est allé bien au-delà des lignes directrices de notre programme pour tirer privé, données non-utilisateur à partir des systèmes internes.
Nous lui avons payé pour son rapport initial de bogue basé sur la qualité, même si il n'a pas été le premier à signaler, mais on n'a pas payé pour l'information ultérieure qu'il avait retenu. À aucun moment, ne nous dit qu'il ne pouvait pas publier ses conclusions - nous avons demandé qu'il ne pas divulguer les informations non publiques, il accède en violation de nos lignes directrices du programme. Nous restons fermement engagés à payer pour la recherche de qualité et d'aider la communauté apprendre des chercheurs’ un dur travail.
Si, De quel côté es-tu?