- Компания Meta устранила уязвимость безопасности, обнаруженную в рекламной платформе Facebook.
- Исследователь, обнаруживший ошибку, получил награду в размере 100 000 долларов.
- Уязвимость позволила исследователю эффективно получить контроль над сервером Facebook.
Meta наградила исследователя кибербезопасности Бена Садегипура наградой за обнаружение ошибок в размере 100 000 долларов после того, как он обнаружил брешь в безопасности рекламной платформы Facebook в октябре 2024 года.
Ошибка позволяла Садегипуру выполнять команды на внутреннем сервере Facebook, где располагалась платформа, что давало ему контроль над сервером.
По словам Садегипура, неисправленная уязвимость позволила ему взломать сервер с помощью безголового браузера Chrome — версии браузера, которую пользователи запускают на компьютерном терминале для прямого взаимодействия с внутренними серверами Facebook.
Часть более широкого исследователя
Недостаток платформы был связан с сервером, который Facebook использовал для создания и показа рекламы, и был уязвим к ранее исправленной ошибке в браузере Chrome, который Facebook использует в своей рекламной системе.
Садегипур сказал TechCrunch Платформы онлайн-рекламы являются привлекательными целями, потому что «за созданием этой «рекламы» происходит очень много всего – будь то видео, текст или изображения».
«Но по своей сути на стороне сервера обрабатывается много данных, и это открывает двери для множества уязвимостей», — сказал Садегипур.
Исследователь подтверждает, что он не проверял все, что мог, находясь внутри сервера, хотя «опасно то, что это, вероятно, было частью внутренней инфраструктуры».
По словам Садегипура, после сообщения об уязвимости в Meta, на ее исправление ушел всего час, отметив, что ее обнаружение было частью «продолжающегося исследования конкретного приложения с конкретной целью». Ему потребовалось несколько часов, чтобы осознать эту ошибку, но Мета работал с ним, чтобы быстро исправить ошибку, и предложил награду, которая «намного превзошла» ожидания, подтвердил он в одном из интервью. Сообщение в LinkedIn.
В последнее время размер вознаграждения за обнаружение ошибок увеличивается, поскольку Google резко увеличил вознаграждение исследователям, участвующим в программе, что делает исследования в области безопасности все более прибыльными.
Вам также может понравиться это
