پرداخت بالاترین پاداش فیس بوک به یک کارشناس امنیتی

 فیس بوک پاداشی درحدود 34 هزار دلار را به رجینالدو سیلوا که یک مهندس کامپیوتر و محقق امنیتی در برزیل است، اعطا کرد. او موفق به کشف یک آسیب پذیری در اجرای کد از راه دور شده است. کشف چنین حفره‌های امنیتی در این روزها آسان نمی‌باشند.

به گفته این محقق، تمامی این اتفاقات از سپتامبر 2012 آغاز شده است، زمانی که وی متوجه شد که یک مشکل گسترش موجودیت خارجی  XML که با نام XXE شناخته می‌شود، در مولفه دروپال وجود دارد که ایجاد حساب کاربری (OpenID) را اداره می‌کند. از آنجا که ایجاد حساب کاربری توسط بسیاری از خدمات مورد استفاده قرار می‌گیرد، سیلوا آزمون‌های خود را برای دیدن آنهایی که تحت تاثیر قرار گرفته اند، آغاز کرد.

در ابتدا، او فکر می‌کرد که فیس بوک در تمام جهات آسیب پذیر نیست، تا اینکه او در یک روز از نوامبر 2013، در حال آزمایش قابلیت سرویس "رمز عبور خود را فراموش کرده اید" در این رسانه اجتماعی بود.

او متوجه شد که این آسیب پذیری از یک سال قبل facebook.com/openid/receiver.php را تحت تاثیر قرار داده است. او بلافاصله یافته‌های خود را به فیس بوک گزارش داد.

حفره امنیتی XXE بسیار جدی است، چرا که می‌تواند فایل‌ها را به دلخواه و خودسرانه بر روی وب سرور خوانده و آنها را تحت تأثیر قرار دهد. با این حال، سیلوا معتقد است که حتی می‌تواند نقص‌های بیشتری را نیز برای اجرای کد از راه دور کشف کند.

فیس بوک نیز پس از بررسی گزارش سیلوا و تایید آن توسط کارشناسان امنیتی خود، مبلغی معادل 34 هزار دلار را به وی هدیه داد که این مبلغ بالاترین پاداشی است که تا به الان به یک کارشناس امنیتی در زمینه کشف آسیب پذیری در فیس بوک پرداخت شده است./