Facebookのリワードプログラムの動作の良い例(数週間前に起こった混乱とは対照的に):セキュリティ研究者が、Facebookからほとんどすべての写真を削除できるエラーを発見しました-個人の写真、私の写真、Zuckerberg 。 この発見に対して、彼は非常に寛大な現金報酬を受け取りました。
報酬プログラムの条件の下で、ルールに従ってエラーを見つけて公開した人は報酬を受け取ります。 ミスに対する最低支払額は500ドルです。 ただし、見つかった脆弱性の重大度によっては、Facebookがさらに支払う可能性があります。 ほとんどの支払いは通常1,500ドルです。 彼のブログで、セキュリティ研究者のArul Kumar は 、 12,500ドルのボーナス(約25の基本支払い)を受け取ったと書いています。
ほとんどの場合、この寛大さの理由は、見つかった脆弱性の非常に単純な再現性にあります。 URLのいくつかのパラメーターを変更することは、攻撃者が他のユーザーの写真を大量に削除できるツールを作成できる簡単なタスクです。
Arulによると、脆弱性の根本はブロッキングページであり、これにより、ユーザーは検討対象として送信されたリクエスト(たとえば、偽のプロファイルや写真、スパムなど)のステータスを確認できます。
ユーザーが写真について苦情を申し立て、サービススタッフが違反に同意した場合、ユーザーはリンクをクリックして写真を削除できます。 どうやら、このリンクが脆弱性の原因でした。
Arulは、写真識別子とユーザーのページ識別子を傍受し、それらの数桁を変更することで、任意のユーザーの写真を削除できることを保証します。 さらに、削除された画像が誰に属しているか、またそれらに苦情が送られたかどうかは関係ありません。 したがって、有名人の写真を削除するリクエストをアカウントの1つに送信できます。 同時に、有名人自身は写真が削除されるまで何も気付かないでしょう。
Arulは、脆弱性の仕組みを示すビデオを投稿しました。
奇妙なことに、ArulはMark Zuckerbergのプロファイルで彼の脆弱性を示しています-このため、数週間前、セキュリティ専門家Khalil Shratekhは報酬を失いました(Facebookは実際のアカウントで脆弱性のテストを禁止しているため)。 しかし、実際にはArulはMarkのプロフィールには触れませんでしたが、KhalilはZuckerbergの壁に脆弱性メッセージを投稿しました。 Arulは、エラーを示すためにマークの写真のみを使用しましたが、削除ボタンをクリックしませんでした。
現時点では、Facebookの両方のセキュリティ脆弱性はすでに修正されています。