نفوذ هوشمندانه به فیس‌بوک: می‌توانید آدرس رایانامه‌ی هر کاربری را مشاهده کنید

با وجود برنامه‌ی پاداش در ازای اشکال فیس‌بوک، امسال کریسمس برای تامی دیُس، محقق امنیتی زودتر فرار سیده است. او با کشف یک آسیب‌پذیری در فیس‌بوک توانست ۵ هزار دلار جایزه بگیرد. این آسیب‌پذیری به او اجازه می‌داد آدرس رایانامه‌های خصوصی هریک از کاربران فیس‌بوک را مشاهده کند.

دیُس گفت: «این نفوذ به من اجازه می‌تواند تا تمامی آدرس‌های رایانامه‌ی کاربران فیس‌بوک را بدست آورم. مهم نیست که رایانامه‌های شما چقدر خصوصی باشند. من می‌توانم به تمامی آن‌ها دست یابم.»

دیُس در روز جشن شکرگزاری گفت که یک آسیب‌پذیری را در فیس‌بوک کشف کرده و آن را در قالب برنامه‌ی پاداش در ازای اشکال به این شرکت گزارش داده است. با گذشت چند هفته و بررسی‌های انجام شده توسط فیس‌بوک و توضیح روند بهره‌برداری، فیس‌بوک اعلام کرده بود که ۵ هزار دلار به این محقق جایزه خواهد داد. روز سه‌شنبه فیس‌بوک به وعده‌ی خود عمل کرد.

این آسیب‌پذیری مربوط به گروه‌های فیس‌بوک است که کاربران می‌توانند ایجاد کنند. این ویژگی به کاربران اجازه می‌دهد بر روی بستر شبکه‌های اجتماعی، گروه خویشاوندی ایجاد کنند. دیُس کشف کرد که به عنوان ادمین یک گروه فیس‌بوک می‌تواند هر کاربر فیس‌بوک را به گروه دعوت کرده و به او نقش ادمین را بدهد و این کاربر بتواند عملیاتی مانند ویرایش پست و عضوگیری را انجام دهد.

این دعوت‌ها توسط سامانه‌ی فیس‌بوک مدیریت شده و به صندوق ورودی پیام‌های گیرنده‌ی دعوت‌نامه ارسال می‌شود و این حساب‌ها با آدرس‌های رایانامه‌ی کاربران در ارتباط است. در بسیاری از موارد کاربران ترجیح می‌دهند آدرس رایانامه‌شان خصوصی باقی بماند. دیُس کشف کرد برخلاف تمام تنظیمات حریم خصوصی که کاربران فیس‌بوک انجام می‌دهند، او می‌تواند به آدرس‌های رایانامه‌ی کاربران دست یابد. حال اینکه این کاربران جزو دوستان او باشند یا نباشند.

دیُس کاربرانی را با نقش ادمین به گروه دعوت کرده بود و زمانی‌که می‌خواست دعوت‌نامه‌های در حالت انتظار را لغو کند، اشکال کوچکی را کشف کرد. او گفت: «در حالی‌که فیس‌بوک منتظر تأیید این دعوت باقی می‌ماند، کاربر به صفحه‌ی نقش‌ها هدایت می‌شود و می‌تواند این درخواست را لغو کند.»
او در ادامه به صفحه‌ی اعطای نقش در برنامه‌ی تلفن همراه فیس‌بوک مراجعه کرد و دید هنگامی‌که می‌خواهد دعوت به گروه کاربران را لغو کند، آدرس رایانامه‌ی کاربران برای او نمایش داده می‌شود.

دیُس گفت: «من متوجه شدم وقتی می‌خواهم دعوت کاربری به گروه به عنوان ادمین را لغو کنم، به صفحه‌ای هدایت می‌شود که در آن آدرس URL رایانامه‌ی کاربر قابل مشاهده است. اینک شما می‌تواند از این آدرس URL که درخواست تأیید است، مستقیماً آدرس رایانامه را که به شکل متن ساده است، بردارید.»
او در یک پست وبلاگی دستاوردهای کشف خود را توضیح داد و عنوان کرد که این آسیب‌پذیری می‌تواند تأثیرات متنوعی داشته باشد. او گفت: «به دست آوردن آدرس رایانامه‌ی کاربران در تضاد با سیاست‌های حریم خصوصی فیس‌بوک است و این آدرس‌های رایانامه می‌تواند در حملات مخرب و فیشینگ مورد سوءاستفاده قرار بگیرد.»

فیس‌بوک این نفوذ را تأیید کرد و گفت که تاکنون مدرکی مبنی بر بهره‌برداری از این آسیب‌پذیری را مشاهده نکرده است. فیس‌بوک اعلام کرد برای جلوگیری از بهره‌برداری، وصله‌ای برای این آسیب‌پذیری پیاده‌سازی شده است.
دیُس که یک توسعه‌دهنده‌ی نرم‌افزار در ویرجینیا است گفت که تاکنون این بیشترین جایزه‌ای بوده که در یک برنامه‌ی پاداش در ازای اشکال دریافت کرده است. او گفت که در بسیاری از برنامه‌های پاداش در ازای اشکال شرکت کرده است از جمله برنامه‌های یاهو و نفوذ به پنتاگون.
فیس‌بوک در مهرماه گزارش داد که در طول ۵ سال که برنامه‌ی پاداش در ازای اشکال را راه‌اندازی کرده، نزدیک به ۵ میلیون دلار را به ۹۰۰ محقق امنیتی به عنوان جایزه پرداخت کرده است. این شرکت اعلام کرد تنها در نیم‌سال اول سال ۲۰۱۶ مبلغ ۶۱۱۷۴۱ دلار به ۱۴۹ محقق جایزه داده است.

فیس‌بوک جزو وب‌گاه‌هایی است که به دنبال شرکت موزیلا و گوگل در مرداد ماه سال ۹۰ برنامه‌ی پاداش در ازای اشکال را راه‌اندازی کرد. بهمن ماه سال قبل بود که فیس‌بوک اعلام کرد بخاطر کشف یک آسیب‌پذیری در API اینستاگرام توسط یک پسربچه‌ی ۱۰ ساله، ۱۰ هزار دلار به او پاداش داده است. فیس‌بوک در سال ۲۰۱۲ اینستاگرام را به قیمت ۱ میلیارد خرید. در فروردین ماه نیز فیس‌بوک به آناند پراکاش مبلغ ۱۵ هزار دلار پاداش داد. او توانسته بود با استفاده از یک حمله‌ی جستجوی فراگیر گذرواژه‌ی ۱.۱ میلیارد کاربر فیس‌بوک را حدس زده و به حساب‌های کاربری دست یابد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap