به لطف برنامه پاداش در مقابل کشف رخنهها، تامی دوئس پژوهشگر امنیتی موفق شد در واپسین روزهای سال جاری میلادی جایزه 5 هزار دلاری فیسبوک را به دست آورد. آسیبپذیری که از سوی دنیس شناسایی شده است به هر کاربری اجازه میدهد به آدرس ایمیلهای کاربران فیسبوک حتا آدرسهایی که خصوصی هستند، دست پیدا کنند.
تامی دوئس در ارتباط با آسیبپذیری شناسایی شده گفته است: «رخنهای که شناسایی کردم این قابلیت را در اختیارم قرار داد تا آدرس ایمیل اعضا فیسبوک را به دست آورم. فرقی نمیکند آدرس ایمیل شما چقدر خصوصی و محرمانه باشند، این توانایی را دارم تا هر آدرسی را به دست آورم.» دنیس آسیبپذیری شناسایی شده را در قالب برنامه پاداش در مقابل کشف اشکالات به فیسبوک گزارش کرد. فیسبوک بعد از گذشت چند هفته و دریافت مستندات او و بررسی مواردی که به آنها اشاره کرده بود، جایزه 5 هزار دلاری را به دنیس اعطا کرد. آسیبپذیری که دنیس موفق به شناسایی آن شد، در ارتباط با گروههایی است که اعضا این شبکه اجتماعی آنها را ایجاد میکنند. ویژگی فوق به کاربران این توانایی را میدهد تا روی فیسبوک گروه خویشاوندی ایجاد کنند. به عنوان مدیر یک گروه فیسبوک این توانایی را دارید تا هر کاربری را به گروه خود دعوت کرده و به او نقش مدیریتی اهدا کنید. در ادامه کاربر فوق این توانایی را خواهد داشت تا کارهایی همچون ویرایش پستها و جذب اعضا را سازماندهی کند.
فرآیند ارسال دعوتنامهها به طور خودکار از سوی سیستم فیسبوک مدیریت شده و به طور مستقیم پیامها در صندوق ورودی دریافت کننده قرار میگیرند. اما این حسابها با آدرسهای ایمیل کاربران در ارتباط است. در بیشتر موارد کاربران شبکههای اجتماعی ترجیح میدهند ایمیل آنها به صورت مخفی از دید همگان باقی بماند. اما آسیبپذیری شناسایی شده از سوی دنیس به او اجازه میدهد تا آدرس ایمیل کاربران، حتا آنهایی که جزء دوستان او نیستند را به دست آورد. دنیس کاربرانی را به عنوان مدیر به گروه خود دعوت کرد. زمانی که در نظر داشت دعوتنامههای در حال انتظار را کنسل کند موفق شد این آسیبپذیری را شناسایی کند.
دئوس گفته است: «در شرایطی که فیسبوک در انتظار تایید دعوتنامههای ارسال شده است، کاربر را به صفحه نقشها (Page Roles) هدایت میکند که یک دکمه لغو درخواست در آن قرار دارد.» در ادامه دئوس از طریق برنامه موبایل فیسبوک به صفحه نقشها رفت و مشاهده کرد، زمانی که در نظر دارد فرآیند دعوت به گروه کاربران را از طریق برنامه همراه فیسبوک لغو کند، آدرس ایمیل کاربران به او نشان داده میشود. آدرس ایمیل در قالب یک متن ساده در اختیار او قرار گرفته بود. دئوس گفته است: «دسترسی به آدرس ایمیل کاربران متناقص با سیاستنامهای است که از سوی فیسبوک در ارتباط با حریم خصوصی ارائه شده است. این آدرسهای ایمیل در ارتباط با حملات مخرب و به ویژه فیشینگ میتواند مورد استفاده قرار گیرد.»
فیسبوک گفته است: «ما این نفوذ را تایید میکنیم اما تا به این لحظه گزارشی در ارتباط با سوء استفاده از این رخنه را دریافت نکردهایم. ما وصلهای را برای این آسیبپذیری آماده کردهایم و ظرف چند روز آینده آنرا پیادهسازی خواهیم کرد.» تا به امروزه فیسبوک جوایز مختلفی را به کاشفان رخنهها پرداخت کرده است. پرداخت جایزه به پسر بچه ده ساله به واسطه شناسایی آسیبپذیری موجود در واسط برنامهنویسی (API) اینستاگرام، پرداخت جایزه 15 هزار دلاری به آناند به واسطه شناسایی حمله جستجوی فراگیر گذرواژه که قادر بود به حسابهای کاربران نفوذ کند از جمله جوایزی هستند که فیسبوک آنرا به پژوهشگران امنیتی اهدا کرده است.
ثبت نظر