فیس‌بوک برای گزارش یک آسیب‌پذیری سرقت حساب کاربری، ۵۵هزار دلار پاداش پرداخت کرد

یک محقق امنیتی برای گزارش یک آسیب‌پذیری جدی که می‌تواند توسط مهاجمان برای سرقت توکن‌های دسترسی و سرقت حساب کاربری مورد بهره‌برداری قرار بگیرد، ۵۵هزار دلار پاداش از فیس‌بوک دریافت کرد. محقق هندی، آمل بایکار (Amol Baikar) در ماه دسامبر کشف کرد که قابلیت «ورود با فیس‌بوک- Login with Facebook» که برای کاربران امکان ورود به وب‌سایت‌های دیگر از طریق حساب فیس‌بوک را فراهم می‌کند، تحت تأثیر یک آسیب‌پذیری قرار دارد.

بایکار متوجه شد که مهاجم می‌تواند با سرقت جریان OAuth، قابلیتی که از پروتکل صدور مجوز OAuth 2.0 استفاده می‌کند، توکن‌های دسترسی کاربر برای برنامه‌هایی که از جریان OAuth استفاده می‌کنند، مانند اینستاگرام و Oculus، را به سرقت ببرد. برای راه‌اندازی این حمله، مهاجم نیاز دارد تا کاربر هدف را برای بازدید از یک وب‌سایت مخرب متقاعد کند.

این آسیب‌پذیری در تاریخ ۱۶ دسامبر به فیس‌بوک گزارش شد و این شبکه‌ی اجتماعی نیز یک هفته بعد، آن را وصله کرد. بااین‌حال، بایکار توانست این وصله را نیز دور زده و بنابراین، در اواسط ماه ژانویه، وصله‌ی کارآمدتری برای این آسیب‌پذیری منتشر شد.

بایکار اعلام کرد که برای گزارش‌های خود، در مجموع ۵۵هزار دلار پاداش از فیس‌بوک دریافت کرده است. به گفته‌ی بایکار، این بالاترین پاداشی است که توسط غول رسانه‌های اجتماعی برای گزارش یک آسیب‌پذیری سرقت حساب مشتری پرداخت شده است. همچنین، فیس‌بوک اعلام کرد که هیچ مدرکی مبنی‌بر بهره‌برداری از این آسیب‌پذیری در دنیای واقعی وجود ندارد.

سال گذشته فیس‌بوک تقریباً ۲٫۲ میلیون دلار از طریق برنامه‌های پاداش در ازای اشکال خود پرداخت کرد و از زمان آغاز به‌کار این برنامه در سال ۲۰۱۱ میلادی، نزدیک به ۱۰ میلیون دلار پاداش توسط فیس‌بوک به محققان پرداخت شده است.

منبع

Related posts

Leave a Comment

8 + هفده =