انتشار شده در تاریخ 1395/11/07 - 12:00

اعطای بزرگ‌ترین پاداش فیس‌بوک به یک هکر

به گزارش واحد امنیت سایبربان؛ فیس‌بوک بزرگ‌ترین پاداش خود را به یک هکر کلاه‌سفید و به خاطر ارسال گزارش یک آسیب‌پذیری بحرانی، اعطا کرد.

گفته می‌شود آقای اندرو لئونوف (یک پژوهشگر روسی در زمینه امنیت)، متوجه شده بود که فیس‌بوک در ImageMagick، در معرض یک نقص امنیتی در زمینه «اجرای کد از راه دور» هست.
گفتنی است ایمجین‌ماجیک، یک ابزار نرم‌افزاری منبع باز و محبوب برای ویرایش عکس‌ها است.
مطابق این گزارش، نقص گفته‌شده می‌توانست به هکرها این امکان را بدهد تا کدهای مخرب خود را در فایل‌های تصویری خود که در این سایت بارگذاری می‌کردند، پنهان نمایند.
این باگ که در بهار گذشته کشف شد، موجب شده بود تا وب‌سایت‌های پرشماری که از نرم‌افزار ویرایش عکس ImageMagick استفاده می‌کنند، در معرض خطر قرار بگیرند.
آقای لئونوف در ماه اکتبر که سرگرم کار با یک وب‌سایت دیگر غیر از فیس‌بوک بود، متوجه چنین خطری شد. ظن او وقتی قوی شد که با یک گزینه پاپ‌آپ «روی فیس‌بوک هم‌خوان کنید»، به فیس‌بوک رفت و بنابه دلایلی، عکس موردنظر وی به‌درستی نشان داده نشد.
او در ابتدا فکر می‌کرد که این مشکل مربوط به‌نوعی آسیب‌پذیری است که هکرها معمولاً در پشت دیوارهای آتشین، درخواست‌هایی ایجاد می‌کنند. او به بررسی خود ادامه داد تا متوجه مشکل اصلی شد و آن را با فیس‌بوک در میان گذاشت.
شایان‌ذکر است که سال گذشته گروه امنیت فیس‌بوک تلاش کرد تا این مشکل را وصله زنی یا پچ کند؛ اما لئونوف متوجه شد که همچنان می‌تواند از راه دیگری این مشکل را برطرف نماید.
گروه امنیت فیس‌بوک برای رفع این آسیب‌پذیری، تنها قوانینی به دیوار آتشین برنامه وب خود افزوده بودند؛ اما این اقدام، عاری از اشکال و خطا نبود؛ درست همان‌طور که لئونوف هم چند ماه بعد خاطرنشان کرد.
فیس‌بوک نیز سرانجام به‌پاس این تلاش، به آقای لئونوف مبلغ ۴۰ هزار دلار پاداش داد.