Тестувальник заробив $100 000 за знайдений баг у Facebook

Компанія Meta виплатила $100 000 незалежному фахівцю в галузі кібербезпеки Бену Садегіпуру за знайдену вразливість у Facebook. Аналізуючи систему показу реклами, Садегіпур знайшов баг, який дозволяє виконати команду в закритій частині серверної інфраструктури Facebook. Фактично це давало можливість отримати повний контроль над сервером, повідомляє TechCrunch.

Вразливість була пов’язана з одним із серверів, які використовуються Facebook для створення та показу реклами. На цьому сервері виявилась вже раніше відома та виправлена помилка в браузері Chrome, який Facebook використовує в своїй рекламній системі. Тестувальник пояснив, що використовуючи полегшену версію браузера Chrome, яка запускається через термінал, він зміг взаємодіяти з внутрішніми серверами компанії та отримати права адміністратора.

«Я припустив, що це критична вразливість, яку варто виправити, оскільки вона знаходиться прямо всередині вашої інфраструктури», — написав Садегіпур у своєму листі для Meta. 

Компанія швидко відреагувала на ситуацію та попросила експерта утриматися від подальших тестів до усунення проблеми. Виправлення зайняло лише одну годину.

Садегіпур не став перевіряти всю можливу функціональність, яку можна було б використовувати, перебуваючи всередині інфраструктури Facebook, але попередив, що знайдений ним баг дозволяє потенційно отримати доступ до інших сайтів і систем всередині інфраструктури компанії. 

«За допомогою вразливості віддаленого виконання коду можна обійти обмеження і безпосередньо отримувати дані як з сервера, так і з інших пристроїв, до яких він підключений», — пояснив він.

Компанія Meta відмовилася коментувати журналістам цю історію, але підтвердила факт усунення бага. За словами Садегіпура, аналогічні проблеми можуть бути і в інших компаніях, рекламні платформи яких він тестував.