یک محقق امنیتی برای گزارش یک آسیبپذیری جدی که میتواند توسط مهاجمان برای سرقت توکنهای دسترسی و سرقت حساب کاربری مورد بهرهبرداری قرار بگیرد، ۵۵هزار دلار پاداش از فیسبوک دریافت کرد. محقق هندی، آمل بایکار (Amol Baikar) در ماه دسامبر کشف کرد که قابلیت «ورود با فیسبوک- Login with Facebook» که برای کاربران امکان ورود به وبسایتهای دیگر از طریق حساب فیسبوک را فراهم میکند، تحت تأثیر یک آسیبپذیری قرار دارد.
بایکار متوجه شد که مهاجم میتواند با سرقت جریان OAuth، قابلیتی که از پروتکل صدور مجوز OAuth 2.0 استفاده میکند، توکنهای دسترسی کاربر برای برنامههایی که از جریان OAuth استفاده میکنند، مانند اینستاگرام و Oculus، را به سرقت ببرد. برای راهاندازی این حمله، مهاجم نیاز دارد تا کاربر هدف را برای بازدید از یک وبسایت مخرب متقاعد کند.
این آسیبپذیری در تاریخ ۱۶ دسامبر به فیسبوک گزارش شد و این شبکهی اجتماعی نیز یک هفته بعد، آن را وصله کرد. بااینحال، بایکار توانست این وصله را نیز دور زده و بنابراین، در اواسط ماه ژانویه، وصلهی کارآمدتری برای این آسیبپذیری منتشر شد.
بایکار اعلام کرد که برای گزارشهای خود، در مجموع ۵۵هزار دلار پاداش از فیسبوک دریافت کرده است. به گفتهی بایکار، این بالاترین پاداشی است که توسط غول رسانههای اجتماعی برای گزارش یک آسیبپذیری سرقت حساب مشتری پرداخت شده است. همچنین، فیسبوک اعلام کرد که هیچ مدرکی مبنیبر بهرهبرداری از این آسیبپذیری در دنیای واقعی وجود ندارد.
سال گذشته فیسبوک تقریباً ۲٫۲ میلیون دلار از طریق برنامههای پاداش در ازای اشکال خود پرداخت کرد و از زمان آغاز بهکار این برنامه در سال ۲۰۱۱ میلادی، نزدیک به ۱۰ میلیون دلار پاداش توسط فیسبوک به محققان پرداخت شده است.
