Software bedrijven en sociale diensten vaak afhankelijk bug jagers om kwetsbaarheden in hun producten te ontdekken. Echter, soms misverstanden gebeuren, en zoals in het onderhavige geval, juridische acties kunnen worden bedreigd. Wesley Weinberg is een senior security-onderzoeker bij Synack.
Zoals gemeld door The Hacker News, hij heeft onlangs deelgenomen aan Facebook's bug bounty-programma, nadat een van zijn vrienden hem een hint gaf over een mogelijke kwetsbaarheid in sensu.instagram(.)met.
Een kwetsbaarheid voor uitvoering van externe code in sensu.instagram(.)met
Dit is hoe Weinberg een externe code-uitvoering ontdekte (RCE) kwetsbaarheid in de weg sensu.instagram(.)com verwerkte sessiecookies, gebruikt om inloggegevens van gebruikers te onthouden.
De RCE-bug kan optreden vanwege twee hoofdproblemen::
1. De Sensu-Admin-webapp die op de server draait, bevatte een hardgecodeerd Ruby-geheim token.
2. De host met een versie van Ruby (3.x) die vatbaar was voor code-uitvoering via de Ruby-sessiecookie.
Hier is het interessante deel. Door misbruik te maken van de kwetsbaarheid, de onderzoeker kon de server dwingen een enorme database uit te spugen met Instagram- en Facebook-gebruikersnamen en wachtwoorden van de werknemers van de bedrijven. Ook al waren de wachtwoorden beveiligd met een bcrypt-encryptie, Weinberg kraakte gemakkelijk veel wachtwoorden die zwak waren.
Waarschijnlijk verbijsterd door deze ontdekking, Weinberg wilde niet stoppen, dus ging hij verder met zijn onderzoek.
Vervolgens onderzocht hij andere configuratiebestanden die hij ontdekte op sensu.instagram(.)com's server en ontdekte dat een van de bestanden sleutels bevatte voor Amazon Web Services-accounts die door laatstgenoemde werden gebruikt om de Sensu-installatie van Instagram te hosten. Zijn onderzoek bracht toen aan het licht dat de vermelde sleutels 82 Amazon s3 unieke emmers (opslagruimtes). Er was niets mis met het laatste bestand in de bucket. Echter, een oudere versie bevatte een ander sleutelpaar waarmee hij de inhoud van alles kon lezen 82 emmers:
Broncode van Instagram
SSL-certificaten en privésleutels (inclusief voor instagram.com en *.instagram.com)
API-sleutels die worden gebruikt voor interactie met andere services
Afbeeldingen geüpload door Instagram-gebruikers
Statische inhoud van de instagram.com website
Inloggegevens voor e-mailserver
iOS/Android app-ondertekeningssleutels
Reactie van Facebook
Logischerwijze, Weinberg ging door met het rapporteren van zijn belangrijkste bevinding aan het beveiligingsteam van Facebook. Echter, Facebook was meer bezig met het feit dat de onderzoeker toegang had tot de privégegevens van werknemers en gebruikers dan met de kwetsbaarheid zelf. Niet alleen heeft Facebook hem niet beloond voor zijn werk, maar ze hebben hem ook gediskwalificeerd van hun bug bounty-programma.
Hier is de officiële verklaring van Facebook:
We zijn sterke voorstanders van de gemeenschap van beveiligingsonderzoekers en hebben positieve relaties opgebouwd met duizenden mensen via ons bug bounty-programma. Deze interacties moeten vertrouwen bevatten, echter, en dat omvat het rapporteren van de details van gevonden bugs en deze niet gebruiken om op ongeoorloofde wijze toegang te krijgen tot privé-informatie. In dit geval, de onderzoeker hield opzettelijk bugs en informatie voor ons team achter en ging veel verder dan de richtlijnen van ons programma om privé te trekken, niet-gebruikersgegevens uit interne systemen.
We betaalden hem voor zijn eerste bugrapport op basis van de kwaliteit, ook al was hij niet de eerste om het te melden, maar we betaalden niet voor de latere informatie die hij had achtergehouden. We hebben op geen enkel moment gezegd dat hij zijn bevindingen niet kon publiceren - we vroegen hem af te zien van de niet-openbare informatie waartoe hij toegang had in strijd met onze programmarichtlijnen. We blijven vastbesloten om te betalen voor onderzoek van hoge kwaliteit en om de gemeenschap te helpen leren van onderzoekers’ hard werken.
Dus, aan welke kant sta jij?
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: