Um pesquisador de segurança, Andrew Leonov, foi premiado $40,000 em nome do Facebook por violar a rede social e corrigir uma vulnerabilidade de execução remota de código. O pesquisador conseguiu quebrar o Facebook usando uma falha do ImageMagick.
relacionado: Bug do Facebook revela o endereço de e-mail principal de qualquer usuário
A falha do ImageMagick foi corrigida anteriormente, mas considerada explorável mais uma vez
Esta falha já foi descoberta e corrigida em 2016, mas precisava ser resolvido mais uma vez. O caso é que a vulnerabilidade ainda estava impactando o site. O que Leonov fez foi estabelecer uma maneira de usá-lo em outubro em um cenário de execução remota de código.
Leonov compartilhou sua descoberta em um blog postar, dizendo que:
Era uma vez no sábado de outubro eu estava testando um grande serviço (não Facebook) quando algum redirecionador me seguiu no Facebook. Era uma caixa de diálogo «Compartilhar no Facebook».
Como visível na citação acima, o pesquisador se deparou com a vulnerabilidade por acidente e decidiu explorá-la em profundidade. Ele também compartilhou que estava feliz por ser a pessoa que o explorou, pois não o fez por motivos de chapéu preto. Não obstante, ele foi premiado com uma recompensa no valor de $40,000, ou pelo menos é o que ele afirma. Parece que esta é a maior recompensa de bugs a cada premiado. De acordo com o The Register, a maior recompensa anterior era $33,500 pago a Reginaldo Silva por descobrir mais uma falha de execução remota de código no Facebook.
Mais sobre a execução remota de código
disse brevemente, a habilidade de acionar a execução de código arbitrário de um computador para outro (principalmente através da Internet) é amplamente conhecido como execução remota de código. O que permite que os invasores executem códigos maliciosos e obtenham controle sobre o sistema comprometido são vulnerabilidades como a falha ImageMagick no Facebook. Uma vez que um sistema está sob o controle dos invasores, eles podem elevar seus privilégios. Dito, a melhor maneira de impedir ataques remotos de execução de código é nunca permitir que vulnerabilidades sejam exploradas. Infelizmente, falhas de execução remota de código são muitas vezes favorecidas pelos invasores, e é isso que torna crucial manter seu sistema operacional atualizado.
É um impacto malicioso da vulnerabilidade? Felizmente, não, como a falha do Facebook ImageMagick foi relatada em particular e nenhum dado do usuário foi comprometido.
relacionado: $4.3 Milhões pagos pelo programa Bug Bounty do Facebook
Facebook gasta milhões em recompensas por bugs, como escrevemos anteriormente. No 2015 só a rede social gastou um total de $936,000. A soma foi dividida para 210 pesquisadores em troca de relatórios 526 insetos. O tamanho médio de uma recompensa por insetos era $1,780. Pesquisadores indianos estavam no topo da "cadeia de recompensas de insetos" em 2014 e 2015.