image

Facebook en onderzoeker ruziën over Instagram-lekken

vrijdag 18 december 2015, 11:54 door Redactie, 1 reacties

Een beveiligingsonderzoeker die zeer ernstige kwetsbaarheden in de infrastructuur van fotodienst Instagram ontdekte is niet blij hoe Facebook zijn bugmeldingen afhandelde. Volgens Facebook handelde de onderzoeker echter onethisch en was hij niet tevreden met de beloning die hij kreeg.

Onderzoeker Wesley Wineberg ontdekte een kwetsbaarheid op een server van Instagram waardoor hij willekeurige code kon uitvoeren. Nadat hij toegang tot de server had gekregen vond hij in de database verschillende gehashte wachtwoorden. De wachtwoorden waren met bcrypt gehasht, waardoor het lastig zou moeten zijn om ze te kraken. De beheerders bleken echter zeer zwakke wachtwoorden te hebben gekozen, waardoor Wineberg in slecht een paar minuten er 12 wist te kraken. Volgens de onderzoeker schokkend, aangezien het systeem via internet toegankelijk was.

Op de kwetsbare server ontdekte de onderzoeker ook andere inloggegevens, waaronder een sleutelpaar voor Amazon Web Services (AWS), de clouddienst van Amazon. Via het sleutelpaar kreeg Wineberg toegang tot 82 verschillende 'S3 buckets'. Dit zijn digitale opslagcontainers met allerlei data. De buckets bleken zeer gevoelige gegevens te bevatten, waaronder broncode van de Instagram server-backend, SSL-certificaten en privésleutels, inloggegevens en allerlei soorten digitale sleutels. Daarnaast vond hij ook buckets met foto's van Instagramgebruikers. Via de gegevens kon Wineberg zich als Instagram voordoen en toegang tot de accounts van alle gebruikers krijgen.

Contact met Facebook

De onderzoeker waarschuwde vervolgens Facebook, maar kreeg niet de reactie waarop hij hoopte. Volgens de sociale netwerksite zou hij de regels voor beveiligingsonderzoek hebben overtreden. Na een lange mailwisseling kreeg Wineberg te horen dat zijn bugmelding niet aan de eisen van het beloningsprogramma voor onderzoekers voldeed, waardoor hij geen beloning zou krijgen. Voor één van de kwetsbaarheden besloot Facebook hem uiteindelijk wel te belonen. Het ging om een bedrag van 2500 dollar. Zelf stelt de onderzoeker dat hij zich wel aan de regels heeft gehouden. De beste oplossing was volgens Wineberg om volledig transparant over zijn onderzoek en contact met Facebook te zijn, waarop hij alle informatie heeft gepubliceerd.

Na publicatie van de uitgebreide blogposting met details over de kwetsbaarheden reageerde Alex Stamos, Chief Security Officer van Facebook. Hij stelt dat Wineberg niet tevreden was met de beloning die Facebook voor één van de gemelde lekken gaf. Daarnaast zou hij onethisch hebben gehandeld door allerlei data van de Instagram-systemen te downloaden. Stamos nam ook contact op met de werkgever van Wineberg, omdat hij ervan uitging dat de onderzoeker het onderzoek in naam van zijn werkgever uitvoerde.

Stamos stelde dat hij Wineberg niet kon toestaan om een precedent te scheppen waarbij iedereen gegevens kan downloaden als onderdeel van beveiligingsonderzoek. Tijdens het contact met de werkgever liet Stamos weten dat hij geen advocaten wilde inschakelen. De Facebok CSO merkt op dat hij zowel Synack, het bedrijf waar Wineberg werkt, als de onderzoeker zelf, niet met juridische stappen heeft gedreigd. Synack liet weten dat Wineberg het onderzoek op eigen titel uitvoerde. Ook wilde Stamos niet dat de onderzoeker alle details over de kwetsbaarheden zou publiceren.

De posting van Stamos zorgde weer voor een reactie van Wineberg. Hij laat weten dat de bugbeloning nooit zijn doel was. Ook hekelt hij het feit dat Stamos nooit contact met hem heeft opgenomen, maar direct naar zijn werkgever stapte. Naar alles wat er gebeurt is hoopt Wineberg dat Facebook niet zijn account zal sluiten. Facebook stelt dat alle sleutels die Wineberg ontving inmiddels zijn vervangen en de gevonden problemen zijn verholpen. Er zouden daarnaast geen aanwijzingen zijn dat zowel de onderzoeker als iemand anders toegang tot gebruikersgegevens hebben gekregen. Op sociale nieuwssite Reddit krijgt Facebook veel kritiek vanwege de handelswijze.

Reacties (1)
24-12-2015, 17:11 door Anoniem
Tenenkrommend:
Facebook benoemt dat een-iedere exploit reproduceerbaar is.
Hoe verwacht men dat je reproduceerbaarheid kan testen zonder een lek meermaals te gebruiken? Laat al zien hoe krom zij zichzelf ingedekt hebben.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.