Facebook är emot flak från säkerhet entusiaster för hur den har hanterat en av de senaste sårbarhet disclosers. Social ångvält har nyligen uppmärksammats av flera säkerhetshål i Instagram, den massiva foto-sharing-nätverk äger, och samtidigt som företaget flyttade för att fylla luckorna, resten av sitt agerande inte finna nåd hos alla.
Wesley Wineberg, en oberoende säkerhet forskare, rapporterade flera sårbarheter i Instagram till Facebook, som, om de utnyttjas, enligt uppgift gav honom full kontroll över tjänsten. Efter Wineberg informerade Facebook om de sårbarheter som företaget erbjöd honom belöning för att avslöja en av de buggar, men också kontaktat sin arbetsgivare och hotade honom med rättsliga åtgärder, enligt Wineberg.
I sin personliga blogg, Wineberg, som är anställd av bevakningsföretag Synack, skrev att han upptäckte flera sårbarheter i Instagram Infrastruktur (tech backend) som tillät honom att få tillgång till källkoden för de senaste versionerna av Instagram. De sårbarheter som påstås också accepteras Wineberg för att få tillgång till SSL-certifikat och privata nycklar för Instagram.com e-server referenser, för att en handfull av kritisk andra funktioner, inklusive iOS-och Android-app signering och några som är ansvarig för iOS push-meddelanden.
De sårbarheter som påstås också accepteras Wineberg att få tillgång till de anställdas konton och lösenord och hitta ett sätt att Amazon hinkar som bestod av användaren bilder och andra uppgifter. “Att säga att jag hade fått tillgång till i princip alla Instagram: s hemliga nyckeln material skulle förmodligen vara en rimlig förklaring. Med de knappar som jag fått, jag kunde nu enkelt personifiera Instagram, eller utge dig för att vara någon giltig användare eller medlem av personalen,” Winberg skrev i ett blogginlägg.
“Medan omfattad, jag skulle lätt ha kunnat få full tillgång till användarens konto, privata bilder och data. Det är oklart hur lätt det skulle vara att använda den information som jag fått för att sedan angripa underliggande servrar, men det har definitivt öppnat upp en massa möjligheter.” tillade han.
Winberg rapporterade sårbarheter till Facebook i tre veck mellan 21 oktober och 1 December. För det första offentliggörandet, Facebook beviljas Wineberg en summa av $2,500 (ungefär Rs. 166,000). Den andra och tredje upplysningar, men var inte träffat några kontanter belöningar. Istället Wineberg skrev, Alex Stamos, Facebook Chief Security Officer kom i kontakt med Synack VD Jay Kaplan och sade att de sårbarheter som rapporteras av Wineberg var trivialt och “litet värde”. Stamos lagt till “att han inte vill ha för att få Facebook juridiska team som deltar, men att han inte var säker på om det var något han behövde för att gå till brottsbekämpning över”, enligt Wineberg.
Wineberg säger också att Stamos krävde att han inte gjorde några sårbarheter allmänheten, radera alla data hämtas från Instagram system och bekräfta att han inte hade tittat på alla användardata. “Trots alla ansträngningar att följa Facebook’ s regler, jag var nu hotas med rättsliga och åtal, och det var allt som görs mot min arbetsgivare,” Wineberg skrev.
Stamos i ett offentligt meddelande postat på Facebook med titeln Bug Bounty Etik har hänvisat till Wineberg är exfiltration för användaren och systemet data som en oetisk handling. Stamos också noteras att Wineberg var inte nöjd med den summan Facebook var att erbjuda honom som en del av bug bounty programmet och att han hade hotat att skriva om nycklar och andra uppgifter till allmänheten.
“Jag sa till Jay som vi inte kunde låta Wes för att skapa ett prejudikat som innebär att vem som helst kan exfiltrate onödiga mängder data och kallar det en del av legitima bugg forskning, och att jag ville hålla denna ur händerna på jurister på båda sidor,” Stamos skrev. “Jag har inte hota med juridiska åtgärder mot Synack eller Wes heller jag be om Wes att få sparken. Det gjorde jag säga att Wes beteende återspeglas dåligt på honom och på Synack, och att det i vårt gemensamma intresse att fokusera på de legitima RCE-rapport och inte onödiga pivot i S3 och nedladdning av data.”
I kommentarerna till inlägget, Stamos har också gjort det klart att företaget inte förväntar sig, och tillåter forskaren att ladda ner en godtycklig mängd data som en del av felet upplysningar. Händelsen, som många användare påpekar, har blottlagt på hur oklart Facebook Bug Bounty Programmets villkor och förutsättningar.
“Jag är inte riktigt säker på vad din definition av “etisk” är – Om du vill buggar rapporteras omedelbart och alla ytterligare utredning stoppas omedelbart SÄGA SÅ UTTRYCKLIGEN. Annars vissa icke-destruktiva peta runt när du väl har hittat ett hål för att se hur djupt det går faktiskt är ganska mycket rättvist spel inom de gränser som du har lagt ut,” en användare som skrev.
“Personligen, jag sympatiserar mer med penetration testare, men jag tror att det finns inga enkla svar här. Detta är bara en annan kant fall i den eviga konflikten mellan hackare och kostymer. Chefer vill känna att de har kontroll på vad som sker på deras nät, och hackare vill spränga igenom alla barriärer, som trotsar kontroll. Bugg skottpengar försök att överbrygga den klyftan, men uppenbarligen i detta fall, det var oenighet om hur långt var “för långt,” Sam Bowne, datornätverk och Etisk Hacking fakulteten vid City College, San Francisco berättade Prylar 360.
“Andra aktuella fall kanten också visa två sidor: är det OK att hacka sig in i kontrollerna av ett luftfartyg under flygning? Vad sägs om intrång i en bil när det är körning på en allmän gata? Vad sägs om att ta en prototyp som själv kör bil på motorvägen? Om vi blockerar alla dessa saker, vi kväver innovation, men om vi tillåter dem alla, vi hotar oskyldiga. Dessa tvister är hur vi söker för en medelväg.”
Som aviserades i 2011, Facebook Bug Bounty Programmet erbjuder ett minimum av $500 (ca Rs. 34,000) till någon som rapporterar säkerhetsproblem på Facebook hemsida. Linjerna så att om en forskare kan testa nivån av skada ett säkerhetsproblem kan göra har aldrig varit tydlig.
Flera säkerhet entusiaster inte är nöjd med Facebook: s strategi.
“Känner verkligen att detta inte var rätt svar. Allt verkade rimligt bortsett från att kontakta de arbetsgivare som om Han är någon form av barn,” en användare som anges.
Vissa användare på Reddit tror att Facebook: s agerande har ett prejudikat som skulle styra forskare bort från att rapportera något till dem.
“Det här är löjligt. Du kan vara säker på att nästa gång någon hittar en sådan sårbarhet de kommer att sälja den på blackout marknader,” en användare som skrev. “Moraliska av historien: Om du hittar en sårbarhet som är tillräckligt stor för att vara potentiellt värt 4 siffror eller mer, sälja det till en 3: e parts”, en annan användare instämde.
Ladda ner Prylar 360 app för Android och iOS för att hålla dig uppdaterad med de senaste tekniska nyheterna, produkt
recensioner och exklusiva erbjudanden på populära mobiler.