Empresas de software e serviços sociais geralmente confiam em caçadores de bugs para descobrir vulnerabilidades em seus produtos. Contudo, às vezes mal-entendidos acontecem, e como no caso atual, ações legais podem estar ameaçadas. Wesley Weinberg é pesquisador de segurança sênior da Synack.
Conforme relatado por The Hacker News, ele recentemente participou do programa de recompensa por insetos do Facebook, depois que um de seus amigos deu a ele uma dica sobre uma vulnerabilidade potencial no sensu.instagram(.)com.
Uma vulnerabilidade de execução remota de código em sensu.instagram(.)com
Foi assim que Weinberg descobriu uma execução remota de código (RCE) vulnerabilidade no caminho sensu.instagram(.)cookies de sessão processados com, usado para lembrar os detalhes de login do usuário.
O bug RCE pode acontecer devido a dois problemas principais:
1. O aplicativo da web Sensu-Admin em execução no servidor continha um token secreto Ruby codificado.
2. O host executando uma versão do Ruby (3.X) que era suscetível à execução de código por meio do cookie de sessão Ruby.
Aqui está a parte interessante. Explorando a vulnerabilidade, o pesquisador conseguiu forçar o servidor a cuspir um enorme banco de dados contendo nomes de usuário e senhas do Instagram e do Facebook dos funcionários das empresas. Mesmo que as senhas fossem protegidas com uma criptografia bcrypt, Weinberg decifrou facilmente muitas senhas que eram fracas.
Provavelmente surpreso com esta descoberta, Weinberg não queria parar, então ele continuou com sua pesquisa.
Ele então investigou outros arquivos de configuração que descobriu no sensu.instagram(.)do servidor de com e descobriu que um dos arquivos continha chaves para contas do Amazon Web Services usadas por este último para hospedar a configuração Sensu do Instagram. Sua investigação então revelou que as chaves listadas 82 Baldes exclusivos do Amazon s3 (unidades de armazenamento). Não havia nada de errado com o arquivo mais recente no intervalo. Contudo, uma versão mais antiga continha outro par de chaves que lhe permitia ler o conteúdo de todos 82 baldes:
Código-fonte do Instagram
Certificados SSL e chaves privadas (incluindo para instagram.com e * .instagram.com)
Chaves de API que são usadas para interagir com outros serviços
Imagens enviadas por usuários do Instagram
Conteúdo estático do site instagram.com
Credenciais do servidor de e-mail
Chaves de assinatura de aplicativos iOS / Android
Reação do Facebook
Logicamente, Weinberg continuou relatando sua descoberta importante para a equipe de segurança do Facebook. Contudo, O Facebook estava mais preocupado com o fato de o pesquisador acessar dados privados de funcionários e usuários do que com a vulnerabilidade em si. Não só o Facebook não o recompensou por seu trabalho, mas também o desqualificou de seu programa de recompensa por insetos.
Aqui está o comunicado oficial dado pelo Facebook:
Somos fortes defensores da comunidade de pesquisadores de segurança e construímos relacionamentos positivos com milhares de pessoas por meio de nosso programa de recompensa de bugs. Essas interações devem incluir confiança, Contudo, e isso inclui relatar os detalhes de bugs encontrados e não usá-los para acessar informações privadas de maneira não autorizada. Nesse caso, o pesquisador reteve intencionalmente bugs e informações de nossa equipe e foi muito além das diretrizes de nosso programa para extrair dados privados, dados de não usuários de sistemas internos.
Nós o pagamos por seu relatório de bug inicial com base na qualidade, mesmo que ele não tenha sido o primeiro a relatá-lo, mas não pagamos pelas informações subsequentes que ele reteve. Em nenhum momento dissemos que ele não poderia publicar suas descobertas - pedimos que ele se abstivesse de divulgar as informações não públicas que acessava em violação às diretrizes do nosso programa. Continuamos firmemente comprometidos em pagar por pesquisas de alta qualidade e ajudar a comunidade a aprender com os pesquisadores’ trabalho duro.
assim, De que lado você está?