Onderzoeker hackt Facebook-server en treft andere hacker aan
Een Taiwanese beveiligingsonderzoeker die erin slaagde een server van Facebook te hacken trof daar sporen van een andere hacker aan die inloggegevens van Facebookmedewerkers had verzameld, maar volgens de sociale netwerksite gaat het om een andere onderzoeker zonder kwade bedoelingen.
Onderzoeker Orange Tsai ontdekte op het domein files.fb.com een server van Facebook die voor het uitwisselen en synchroniseren van bestanden wordt gebruikt. Op de server draaide software van een derde partij die door Facebook wordt gebruikt. Hoewel erin het verleden in deze software kwetsbaarheden zijn aangetroffen, gebruikte Facebook de meest recente versie. Tsai ontdekte uiteindelijk vier zero day-lekken in de software waarmee hij de server wist over te nemen.
Tot zijn grote verbazing trof hij daar een webshell aan van iemand die eerder al toegang tot de server had verkregen. Deze aanvaller had een proxy toegevoegd op de inlogpagina voor Facebookmedewerkers om zo inloggegevens op te vangen. In totaal zouden al 300 inloggegevens zijn verzameld. Tsai informeerde Facebook over zijn bevindingen en ontving 10.000 dollar. De onderzoeker wilde zijn onderzoek publiceren, maar kreeg van Facebook het verzoek om hiermee te wachten totdat het forensisch onderzoek naar het incident was afgerond.
Reactie Facebook
Op Hacker News laat Facebook weten dat ze blij zijn met melding van Tsai. De sociale netwerksite benadrukt dat het om software van een derde partij gaat waar het geen volledige controle over heeft. Daarom werd het op een geïsoleerd systeem gedraaid, los van de systemen met gegevens van Facebookgebruikers. Na de melding van Tsai werd een onderzoek ingesteld. Daaruit zou blijken dat de webshell en 'aanvaller' die Tsai ontdekte eigenlijk een andere onderzoeker was die ook aan het onderzoeksprogramma van Facebook meedeed.
De twee onderzoekers zijn er niet in geslaagd om andere delen van de Facebook-infrastructuur te compromitteren. "Een win-win-situatie: twee competente onderzoekers onderzochten het systeem, één rapporteerde wat hij ontdekte en kreeg een mooie beloning en geen van de onderzoekers slaagden erin om verdere toegang te krijgen", aldus Reginaldo Silva van Facebook.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.