Facebook er modtagelse af flak fra sikkerhed-entusiaster til den måde, det har håndteret en af de seneste sårbarhed disclosers. Den sociale juggernaut blev for nylig gjort opmærksom på flere sikkerhedshuller i Instagram, den massive foto-deling af netværk, som det ejer, og samtidig flyttede virksomheden til at lukke hullerne, resten af dens aktioner ikke finde ind til alle.
Wesley Wineberg, en uafhængig sikkerhedsekspert, rapporterede flere sårbarheder i Instagram på Facebook, som, hvis den udnyttes, angiveligt gav ham fuld kontrol over den service. Efter Wineberg informeret Facebook om sårbarheder, tilbød ham løn for at afsløre en af de bugs, men også kontaktet af sin arbejdsgiver, og truet ham med sagsanlæg, efter at Wineberg.
I hans personlige blog, Wineberg, en kontrakt ansat af vagtselskab Synack, der skrev, at han har fundet flere sårbarheder i Instagram Infrastruktur (tech backend), der tillod ham at få adgang til kildekoden for den seneste versioner af Instagram. De sårbarheder angiveligt også tilladt Wineberg for at få adgang til SSL-certifikater og private nøgler for Instagram.com, e-mail-server legitimationsoplysninger, nøglerne til en håndfuld kritiske andre funktioner, herunder iOS-og Android-app undertegnelse og nogle, der er ansvarlig for iOS-push-meddelelser.
De sårbarheder angiveligt også tilladt Wineberg at få adgang til medarbejdernes konti og adgangskoder og finde en måde at Amazon spande, der bestod af brugeren, billeder og andre data. “At sige, at jeg havde fået adgang til stort set alle Instagram’ s hemmelige nøgle materiale vil sandsynligvis være en hel sætning. Med de nøgler, jeg fik, kunne jeg nu nemt udgive Instagram, eller udgive dig for en gyldig bruger eller medarbejder,” Winberg skrev i et blogindlæg.
“Mens ude af rækkevidde, ville jeg nemt have været i stand til at få fuld adgang til brugerens konto, private billeder og data. Det er uklart, hvor let det ville være at bruge de oplysninger, jeg fik for derefter at gå på kompromis med de underliggende servere, men det helt sikkert åbnet op for en masse muligheder.” tilføjede han.
Winberg rapporterede sårbarheder til at Facebook i tre folder mellem den 21 oktober og 1. December. Til den første offentliggørelse, Facebook ydes Wineberg en sum af $2.500 (omkring Rs. 166,000). Den anden og tredje afsløringer, men var ikke mødt med kontante belønninger. I stedet, Wineberg skrev, Alex Stamos, Facebook Chief Security Officer kom i kontakt med Synack CEO Jay Kaplan og sagde, at de rapporterede sårbarheder ved Wineberg var trivielt og af “ringe værdi”. Stamos tilføjede, “at han ikke ønsker at have for at få Facebook’ s juridiske team, der er involveret, men at han ikke var sikker på om det var noget, han havde brug for at gå til retshåndhævelse over,” i henhold til Wineberg.
Wineberg siger også, at Stamos krævede, at han gjorde ikke nogen sårbarheder offentlige, skal du slette alle data, der er hentet fra Instagram-systemer og bekræfte, at han ikke havde adgang til brugerdata. “På trods af alle bestræbelser på at følge Facebook’ s regler, jeg var nu ved at blive truet med juridiske og anklager, og det var alt, hvad der bliver gjort mod min arbejdsgiver,” Wineberg skrev.
Stamos i en offentlig bemærk lagt ud på Facebook med titlen Bug Bounty Etik har henvist til Wineberg er exfiltration af bruger og system data som en uetisk handling. Stamos også bemærkes, at Wineberg ikke var tilfreds med den sum Facebook tilbød ham som del af bug bounty program, og at han havde truet med at skrive om de nøgler og andre data til offentligheden.
“Jeg fortalte Jay, som vi kunne ikke tillade, at Wes til at skabe præcedens for, at nogen kan exfiltrate unødvendige mængder af data og kalde det en del af legitime bug forskning, og som jeg ønskede at holde dette ud af hænderne på advokater på begge sider,” Stamos skrev. “Jeg gjorde det ikke truer med retssag mod Synack eller Wes heller ikke jeg kan bede om Wes til at blive fyret. Jeg sagde, at Wes ‘ s adfærd afspejles dårligt på ham og på Synack, og at det var i vores fælles interesse at fokusere på de legitime RCE rapport og ikke unødvendige pivot i S3 og download af data.”
I bemærkningerne til den post, Stamos har også gjort det klart, at virksomheden ikke forventer, og give en forsker til at hente en vilkårlig mængde af data som en del af bug oplysninger. Den hændelse, som mange brugere påpeger, har blotlagt, hvordan uklart Facebook Bug Bounty Program ‘ s vilkår og betingelser.
“Jeg er ikke helt sikker på hvad din definition af ‘etiske’ er – Hvis du ønsker fejl, som rapporteres straks og alle yderligere undersøgelse stoppede straks SIGE, SÅ EKSPLICIT. Ellers nogle ikke-destruktiv rode rundt når du har fundet et hul for at se, hvor dybt det går faktisk er temmelig meget fair spillet inden for de grænser, du har lagt ud,” en bruger skrev.
“Personligt er jeg sympatiserer mere med penetration tester, men jeg tror, der er ingen enkle svar her. Dette er blot en anden kant tilfældet i den evige konflikt mellem hackere og dragter. Ledere ønsker at føle, at de kan kontrollere, hvad der sker på deres netværk, og hackere ønsker at sprænge gennem hver barriere, trodser denne kontrol. Fejl dusører forsøg på at bygge bro over den kløft, men naturligvis i dette tilfælde, var der en uenighed om, hvor langt der var ‘for langt,’ Sam Bowne, Computer Networking og Etisk Hacking fakultet på City College, San Francisco fortalte Gadgets 360.
“Andre nyere kant tilfælde også vise to sider: er det OK at hacke sig ind i kontrol med et luftfartøj under flyvning? Hvordan omkring et indbrud i en bil, mens den kører på en offentlig gade? Hvad med at tage en prototype, der selv kører bilen ud på motorvejen? Hvis vi blokere alle disse ting, vi kvæler innovation, men hvis vi tillader dem alle, vi bringer uskyldige. Disse tvister er, hvordan vi skal finde den gyldne middelvej.”
Meddelte i 2011, at Facebook Bug Bounty Program byder på et minimum 500 dollar (omkring Rs. 34,000) til nogen, der rapporterer sårbarheder i sikkerheden på Facebook hjemmeside. De linjer, som at hvis en forsker kunne teste omfanget af de skader, en sårbarhed kunne gøre, har aldrig været klar.
Flere sikkerheds-entusiaster ikke er tilfreds med Facebook ‘ s tilgang.
“Virkelig føler, at dette ikke var det rigtige svar. Alt virkede rimeligt, bortset fra at kontakte arbejdsgiveren, som hvis Wes er en slags barn,” en bruger er angivet.
Nogle brugere på Reddit, mener, at Facebook ‘ s handlinger har sat en præcedens, der vil styre forskere væk fra rapportering noget til dem.
“Det er latterligt. Du kan være sikker på, at næste gang nogen finder sådan en sårbarhed, som de vil sælge det på blackout markeder,” en bruger skrev. “Moralen: Hvis du finder en sårbarhed, der er store nok til at være værd 4 cifre eller mere, sælge det til en 3. part,” en anden bruger istemte.
Download Gadgets 360 app til Android og iOS til at holde dig ajour med de seneste tech nyheder, produkt
anmeldelser og eksklusive tilbud på de populære mobiler.