امکان حذف هر عکسی با آسیب‌پذیری موجود در فیس‌بوک

یک پژوهشگر می‌گوید بعد از یافتن یک آسیب‌پذیری حیاتی که برای حذف هر عکسی از شبکه اجتماعی مورد بهره‌برداری قرار می‌گیرد، یک پاداش ۱۰ میلیون دلاری از فیس‌بوک دریافت کرده است.

در اوایل ماه نوامبر، فیس‌بوک از یک ویژگی جدید برای ارسال نظرات حاوی عکس‌ها و تصاویر متحرک GIF خبر داد. پژوهشگر امنیتی و توسعه‌دهنده‌ی وب ایرانی به نام پویا دارابی این ویژگی را مدت کوتاهی پس از راه‌اندازی آن تجزیه و تحلیل کرد و کشف کرد که این ویژگی یک آسیب‌پذیری را معرفی می‌کند که به آسانی قابل بهره‌برداری است.

هنگامی که یک کاربر یک نظر را ثبت می‌کند، این درخواست ارسال‌شده به کارگزارهای فیس‌بوک شامل شناسه‌ی پرونده‌های تصویری اضافه شده به نظر است. این کارشناس متوجه شد که کاربران می‌توانند شناسه‌ی تصویر درخواست را با شناسه‌ی هر عکسی در فیس‌بوک جایگزین کنند و این  تصویر در نظر ثبت‌شده نمایش داده شود.

 

 

این پژوهش‌گر به نام پویا دارابی گزارش داد هنگامی که نویسنده‌ی نظر پست را حذف کند، تصویری که شناسه‌ی آن به درخواست اضافه شده بود نیز از فیس‌بوک حذف می‌شود.

این آسیب‌پذیری در روز ۳ ماه نوامبر به فیس‌بوک گزارش شد و در همان روز یک راه‌حل موقتی برای آن ارائه شد. این شرکت در روز ۵ ماه نوامبر یک وصله‌ی کامل را ارائه داد.

یک پاداش ۱۰ هزار دلاری در ازای این کشف این اشکال به پژوهش‌گر پرداخت شده است. این پژوهشگر یک پست وبلاگی و یک ویدئویی منتشر کرده است که این آسیب‌پذیری را توضیح می‌دهد.

این اولین بار نیست که دارابی یک پاداش قابل توجهی از فیس‌بوک دریافت کرده است؛ در سال ۲۰۱۵ میلادی، غول رسانه‌ی اجتماعی برای دور زدن سامانه‌های حفاظت دربرابر درخواست تقلبی (CSRF) مبلغ ۱۵ هزار دلار به او پاداش داد. سال بعد نیز پاداش ۷۵۰۰ دلاری برای ضعف‌های مشابه دریافت کرد.

این نوع آسیب‌پذیری‌ها در فیس‌بوک غیرعادی نیستند. در سال‌های گذشته، پژوهشگران چند آسیب‌پذیری  را گزارش دادند که برای حذف نظرات، ویدئوها، و تصاویر از فیس‌بوک مورد بهره‌برداری قرار می‌گرفتند. این حفره‌های امنیتی که در بیشتر موارد شامل جایگزین کردن شناسه‌ی منابع مورد هدف در یک درخواست است، برای پژوهشگران تقریباً ۱۰ هزار دلار درآمد داشت.

فیس‌بوک، میلیون‌ها دلار برای پژوهشگرانی پرداخت کرده است که آسیب‌پذیری‌های موجود در شبکه‌ی رسانه‌ی اجتماعی را از زمان راه‌اندازی برنامه‌ی پاداش در ازای اشکال آن در سال ۲۰۱۱ میلادی کشف کردند.

 

 

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید