Води се публична битка между Facebook и изследовател, който докладва за пагубен пропуск в сигурността на Instagram.
Facebook се забърка в битка с изследовател по сигурността, който може да е превишил граници на разкриване на награди за грешки - и сега ескалиращата драма доведе до разделена сигурност общност.
В основата на драмата е Уес Уайнберг, изследовател, който наскоро представи дефект за дистанционно изпълнение на код (RCE), открит в услугата за споделяне на изображения Instagram, която сега е собственост на Facebook.
Експертът по сигурността откри набор от недостатъци и слабости през октомври – включително сериозен RCE уязвимост - докладване на проблемите на екипа по сигурността на Facebook като част от наградата за грешки на компанията програма.
В публикация в блог, изпълнителят на компанията за сигурност Synack казва, че е успял да се докосне до слабостите на Instagram, за да вземе скорошен изходен код за задната система на Instagram, SSL сертификати и частни ключове, ключове, използвани за подписване на ключове за удостоверяване за Instagram, идентификационни данни за имейл сървър, ключове за подписване на приложения за iOS и Android и API ключове за Twitter, Facebook, Flickr, Foursquare и Tumblr. Изследователят също така успя да получи достъп до акаунтите на служителите.
Уайнберг написа:
„Да кажа, че съм получил достъп до почти всички секретни ключови материали на Instagram, вероятно би било честно твърдение. С ключовете, които получих, вече можех лесно да се представя за Instagram или за всеки валиден потребител или член на персонала.Въпреки че съм извън обхвата, лесно бих могъл да получа пълен достъп до всеки потребителски акаунт, лични снимки и данни. Не е ясно колко лесно би било да използвам информацията, която получих, за да компрометирам основните сървъри, но определено отвори много възможности."
Wineberg успя да вземе тези данни, като използва три недостатъка, всички от които бяха докладвани на гиганта в социалните мрежи. Първият беше приет без фанфари и на Уайнберг бяха предложени 2500 долара за работата му. Другите две уязвимости обаче не бяха посрещнати щастливо от Facebook, който обвини изследователя, че е надхвърлил границите на етичното поведение в изследването си на скелетите в шкафа на Instagram.
Сигурност
- 8 навика на много сигурни дистанционни работници
- Как да намерите и премахнете шпионски софтуер от телефона си
- Най-добрите VPN услуги: Как се сравняват топ 5?
- Как да разберете дали сте замесени в нарушение на сигурността на данните -- и какво да направите след това
В изявление, публикувано във Фейсбук, главният служител по сигурността на социалната мрежа Алекс Стамос твърди, че представянето на Уайнбърг – което му е спечелило $2500 – вече е било докладвано, но въпреки това е било възнаградено. Всичко до момента на докладването е било етично, но Стамос твърди, че поведението на изследователя след това го е принудило да се включи лично.
Стамос казва, че Wineberg е използвал недостатъка на RCE, за да намери AWS API ключове, които след това са били използвани за изтегляне на непотребителски данни от Instagram, включително техническа и системна информация през S3 кофа.
„Фактът, че AWS ключовете могат да се използват за достъп до S3, е очаквано поведение и сам по себе си няма да се счита за пропуск в сигурността. Умишленото ексфилтриране на данни не е разрешено от нашата програма за награди за грешки, не е полезно за разбирането и справянето с основния проблем и не е етично поведение на Уес“, казва Стамос.
Стамос също така твърди, че Wineberg „не е доволен“ от предложеното плащане за награда за грешки и отговори, като каза, че планира да пише за изтеглянето на данни.
Тук нещата стават интересни. Стамос признава, че се е свързал с главния изпълнителен директор на Synack, тъй като Facebook „предполага“, че изследователят работи от името на компанията поради използването на synack.com имейл адрес и принадлежност към неговия акаунт във Facebook (от които, важно е да споменем, изследователят трябва да има, за да изпраща доклади до наградата за грешки програма.)
Стамос казва, че докато говори с главния изпълнителен директор Джей Каплан, той обясни, че Facebook смята, че Wineberg е действал „неетично“ и докато Facebook е добре с изследовател, който пише доклада си за самата уязвимост, Facebook не би го приел да обсъжда достъпа му до S3 или да публикува данните от Instagram, които имаше взета.
„Казах на Джей, че не можем да позволим на Уес да създаде прецедент, че някой може да извлича ненужни количества данни и наречете го част от легитимно изследване на грешки и че исках да държа това далеч от ръцете на адвокатите и на двете страни. Не съм заплашвал със съд Синак или Уес, нито съм искал Уес да бъде уволнен“, казва Стамос.
Ако оставим настрана подразбиращата се заплаха от адвокати, първоначалният бъг вече е коригиран и Стамос призна, че Facebook не е преработил доклада за пропуска в сигурността достатъчно бързо.
Драмата може да се е развила в резултат на неразбиране на първия етап, но е оставила отпечатък върху вече разделената общност за сигурност. Много изследователи имат коментира публикацията на Стамос, някои от които са съгласни с Facebook – но много не го правят, което означава, че направените грешки са оставили горчив вкус в устата им.
Някои отбелязват, че тъй като недостатъкът на RCE вече е бил известен, той е трябвало да бъде коригиран незабавно, а други са ядосани на предположението за причините на изследователя да представи недостатъка - особено след като такова предположение доведе до разпространението на драмата на работното му място без дължимото причина.
Основната ябълка на раздора е, че Facebook не казва изрично, че изследователите не трябва да търсят допълнителни проблеми, след като открият недостатък – но не посочват такова правило, за разлика от Microsoft.
Както отбеляза един потребител, яснотата е ключова:
„Facebook не е публикувал такова ограничение и все още не е, така че проучвам, за да видя колко дълбок е заекът hole goes е, за всички практически цели, "в обхвата", при условие че не нарушавате нито едно от другите ограничения.
Ако това не е, което искат, всичко, което трябва да направят, е да променят няколко думи, за да изяснят намерението си и няма да има никакъв проблем!"
Празнично ръководство за 2015 г.: Топ технологични джаджи, които да подарите този сезон
Прочетете: Най-добри избори
- Port Fail VPN пропуск в сигурността разкрива вашия истински IP адрес
- Дилъри заведоха Volkswagen с групови искове заради скандала с емисиите
- Награди за грешки: Кои компании предлагат на изследователите пари в брой?
- Вашият бизнес е претърпял нарушение на данните. Сега какво?
- 10 неща, които не знаехте за Dark Web