Ένας ερευνητής ασφαλείας που συνηθίζει να κυνηγάει bug bounty κατάφερε να παραβιάσει τον διακομιστή του προσωπικού του Facebook μέσα από μια ανασφαλή file-sharing webapp και ανακάλυψε ότι κάποιος άλλος ήταν ήδη εκεί. Μάλιστα ο “άλλος” είχε εγκαταστήσει κακόβουλο λογισμικό και σύλλεγε δεδομένα από το προσωπικό του μεγαλύτερου κοινωνικού δικτύου. 
Ο ερευνητής (penetration tester) Orange Tsai, ο οποίος εργάζεται στην εταιρεία της Ταϊβάν Devcore, κατάφερε να εισπράξει 10.000 δολάρια από το Facebook το Φεβρουάριο μετά από μια επιτυχή διείσδυση στο ευάλωτο σύστημα.
Σε μια δημοσίευση αυτή την εβδομάδα, ο ερευνητής περιγράφει πώς κατάφερε να παραβιάσει τον Linux διακομιστή της εταιρείας και πως σκόνταψε πάνω στο κακόβουλο λογισμικό που είχε εγκατασταθεί από κάποιον άλλο που έκλεβε usernames και passwords των εργαζομένων του FB. Τα διαπιστευτήρια σύνδεσης συλλέγονταν σε έναν εξωτερικό υπολογιστή.
Σύμφωνα με τον ερευνητή δεν διέρρευσαν πληροφορίες χρηστών.
Ας δούμε τα βήματα του ερευνητή:
Με Googling άρχισε να συλλέγει IP ranges του Facebook. Έτσι ο Orange ανακάλυψε το files.fb.com.
Η ιστοσελίδα αυτή τρέχει μια web-based “ασφαλή” υπηρεσία μεταφοράς αρχείων της Accellion.
Αυτή webapp είχε παλαιότερα μια ευπάθεια που επέτρεπε απομακρυσμένη εκτέλεση κώδικα, και έτσι ο Orange άρχισε να αναζητά παρόμοια σφάλματα στο λογισμικό.
Ο ερευνητής διαπίστωσε, ότι μεταξύ άλλων σφαλμάτων, υπήρχε και ένα που επέτρεπε SQL injection κάτι που θα του επέτρεπε να τρέξει κώδικα από απόσταση. Η Accellion έκτοτε έχει κυκλοφορήσει patch που κλείνουν τέσσερα κενά ασφαλείας (CVE-2016-2350 και CVE-2016-2353).
Έχοντας αξιοποιηθεί ένα κλασικό σφάλμα που επέτρεπε SQL injection κατάφερε να εγκαταστήσει ένα webshell και να αποκτήσει τον έλεγχο του συστήματος.
Τότε ο Orange ανακάλυψε μερικά PHP scripts που έκλεβαν τα ονόματα χρηστών και τους κωδικούς πρόσβασης των εργαζομένων στο Facebook, που είχαν πρόσβαση στο subdomain files.fb.com. Τα ονόματα και οι κωδικοί αυτοί θα μπορούσαν να έχουν χρησιμοποιηθεί για πρόσβαση και σε άλλες σελίδες Facebοok.
Τα κακόβουλα scripts χρησιμοποιήθηκαν κάποια στιγμή τον Ιούλιο και τον Σεπτέμβριο του περασμένου έτους.
Σύμφωνα με τον τεχνικό ασφαλείας του Facebook, κ. Reginaldo Silva, το κακόβουλο λογισμικό που “τραβούσε” τα ονόματα και τους κωδικούς πρόσβασης, είχε εγκατασταθεί από κάποιον άλλο ερευνητή ασφαλείας ο οποίος προσπαθούσε επίσης να κερδίσει κάποιο χρηματικό έπαθλο παραβιάζοντας το Facebook.
“Είμαστε πραγματικά ευτυχείς που ο Orange ανέφερε την παραβίαση. Στην περίπτωση αυτή, το λογισμικό το χρησιμοποιούσε κάποιος τρίτος. Καθώς δεν είχαμε τον πλήρη έλεγχο του, προσπαθήσαμε να το απομονώσουμε από τα συστήματα που φιλοξενούν δεδομένα των χρηστών του Facebook” δήλωσε ο Silva.
“Διαπιστώσαμε ότι η δραστηριότητα που ανιχνεύθηκε από τον Orange ήταν στην πραγματικότητα από κάποιον άλλο ερευνητή που συμμετείχε στο πρόγραμμα. Κανένας από αυτούς δεν ήταν σε θέση να θέσει σε κίνδυνο άλλα τμήματα της υποδομής μας. Όμως είναι μια διπλή νίκη:
“Δύο ικανοί ερευνητές αξιολογούν το σύστημα, ένας από αυτούς ανέφερε τι βρήκε και πήρε ένα καλό μπόνους, κανένας από αυτούς όμως δεν ήταν σε θέση να κλιμακώσει την πρόσβαση.”
