Amikor a Facebook elindította hibavadász programját, és erről 2012-ben a Bloomberg is beszámolt, azt nyilatkozták: „ha valaki talál egy egymillió dolláros hibát, mi kifizetjük.” Vagy mégsem. Wesley Wineberg biztonsági rések után kutató mérnök, a webalkalmazásoktól a beágyazott eszközökig széles skálán dolgozik. Hét éve tölti munka- és szabadidejét hibák levadászásával, illetve ezek dokumentálásával. Honlapján (exfiltrated.com) mutatja be, hogy járt az Instagramon talált sebezhetőséggel.
Hirdetés
A részletes levezetés itt olvasható, röviden: kapott egy tippet arról, hogy a jelszókezelő rendszer kijátszható. Ezt próbálta ellenőrizni a barátja által megtalált a Sensu-Admin nevű alkalmazással (sensu.instagram.com). Ezt a rendszert sikerült kijátszania egy kis fordított mérnöki tevékenységgel, azaz kódvisszafejtéssel. Ez alapján már viszonylag egyszerűen kidumpolta az adatbázist, ahol nagyjából hatvan alkalmazott felhasználónevét találta meg. A bcrypt titkosítással ellátott jelszavakat feltörni nem tűnt egyszerűnek, azonban néhány percen belül már 12 hozzáféréssel rendelkezett.
Ezért fizettek (forrás: Exfiltrated) [+]
Hat jelszó a változtassmeg (changeme), három azonos a felhasználónévvel, kettő a jelszó (password), egy pedig az instagram karaktereket tartalmazta. Gond nélkül belépett az adminisztrációs felületre. A konfigurációs fájlok között kutatva megszerezte az Amazon Web Services (AWS) kulcspárjait, amit az Instagram használt. Így hozzáfért:
- a statikus tartalmakhoz az instagram.com oldalról
- a szerveroldali forráskódokhoz, API végpontokhoz, néhány képfeldolgozó állományhoz, stb.
- SSL és privát kulcsokhoz, beleértve az instagram.com és a *.instagram.com címeket is
- Az authentikációs sütikért felelős titkos kulcsokhoz
- E-mail szerver azonosítókhoz
- IOS, Android, Twitter, Facebook, Flickr, Tumblr, Foursquare, Recaptcha kulcsokhoz
Ezért nem fizettek (forrás: Exfiltrated) [+]
A Facebook azonban visszautasította a találatot, arra hivatkozva, hogy a felhasználó megszegte a szabályzatot. Sőt, gyakorlatilag a kérdésekre sem voltak hajlandóak válaszolni, lezárták a beszélgetést. Amikor mégis válaszoltak, olyan előírásra hivatkoztak, ami nem volt kifejtve a részvételi feltételek között.
A Sensu-Admin hibáért a Facebook hajlandó volt fizetni, 2500-2500 dollárral jutalmazták Wineberget és barátját, viszont a gyenge jelszavak kérdéskörét, illetve az AWS kulcspárokkal történő szabad hozzáférést nem fogadták el, utóbbit arra hivatkozva, hogy harmadik fél szoftverével és nem a Facebook ökoszisztémával kapcsolatos.
A legérdekesebb mégis az, hogy a közösségi oldal képviselője telefonon kereste meg Wineberg főnökét. A hívás során tájékoztatta arról, hogy akár jogi lépéseket is tehetnek, ha nem a cég szabályai szerint játszanak, amibe az is beletartozik, hogy a talált hiányosságokat titokban tartják.
A biztonsági szakember nem érti, miért volt szükség a hívásra, amikor a Facebook hibavadász programja egyértelműen leírja, hogy kizárólag privát (nem céges) e-mail címmel lehet részt venni, Wineberg pedig ezek szerint is járt el. Ahogy nem érti azt sem, egy ennyire egyértelmű hibát mért nem ismer el a vállalat. Elmondása alapján nem az egymillió dollár hiánya fáj neki, hanem a korrekt tájékoztatás és a problémák kezelésének módja.
