Meta выплатила исследователю безопасности 100 000 долларов за обнаружение критической уязвимости на платформе Facebook*.
В октябре 2024 года исследователь безопасности Бен Садегипур, анализируя рекламную платформу Facebook*, обнаружил серьёзную уязвимость. Она позволяла ему удалённо выполнять произвольный код на внутреннем сервере Meta*, отвечающем за работу этой платформы, фактически предоставляя полный контроль над сервером.
Садегипур немедленно сообщил об уязвимости в Meta*. Компания отреагировала оперативно, устранив проблему всего за час. За обнаружение и сообщение о критической бреше в безопасности Meta* выплатила исследователю вознаграждение в размере 100 000 долларов в рамках программы Bug Bounty.
"Я предположил, что вы захотите исправить это, поскольку уязвимость находится непосредственно в вашей инфраструктуре", — написал Садегипур в своём отчёте Meta*. Компания ответила просьбой прекратить дальнейшие исследования до устранения проблемы.
Проблема заключалась в том, что один из серверов, используемых Facebook* для создания и размещения рекламы, был уязвим к уже исправленной уязвимости в браузере Chrome, который используется в рекламной системе Facebook*. Садегипур, работая с независимым исследователем Алексом Чепменом, использовал headless-версию Chrome для взаимодействия с внутренними серверами Facebook*.
Садегипур подчеркнул, что рекламные платформы являются привлекательными целями для хакеров из-за огромного объёма данных, обрабатываемых на стороне сервера. "При создании рекламы в фоновом режиме происходит множество процессов — обработка видео, текста, изображений. А в основе всего этого лежит большой объём данных, обрабатываемых на сервере, что открывает множество возможностей для уязвимостей", — пояснил он.
Исследователь отметил, что не проверял все возможные действия, которые он мог бы совершить, получив доступ к серверу Facebook*, но подчеркнул опасность ситуации: "Это была часть внутренней инфраструктуры. Получив возможность удалённого выполнения кода, мы могли бы взаимодействовать с любыми сайтами в этой инфраструктуре, обходить ограничения и извлекать данные с сервера и других машин, к которым он имеет доступ."
Садегипур также заявил, что аналогичные рекламные платформы других компаний подвержены подобным уязвимостям. Meta на момент публикации новости не предоставила комментариев.
*Meta Platforms, а также принадлежащие ей социальные сети Facebook и Instagram: признана экстремистской организацией, её деятельность в России запрещены в России
Источники: