Эксперт получил 16000 долларов за обнаружение ошибки в Facebook Business Manager

Компания Facebook заплатила крупную премию независимому исследователю информационной безопасности из Индии Аруну С. Кумару за обнаружение уязвимости в бесплатном инструменте Facebook Business Manager, предназначенном для управления рекламными объявлениями, страницами, приложениями, а также для настройки доступа к Facebook Pages сразу для нескольких пользователей.

При добавлении пользователем в Business Manager нового партнера необходимо указывать его ID и роль. Как утверждает исследователь, суть проблемы в том, что в запросах, передаваемых в рамках данной процедуры, содержатся параметры, которыми можно с легкостью манипулировать, используя IDOR-уязвимость (insecure direct object reference).

Злоумышленник, знающий об этой уязвимости, может создать запрос к серверу Facebook с помощью тестовой учетной записи, осуществить его перехват, а затем найти и заменить нужные параметры. Так, киберпреступник может внести изменения в параметры страницы и пользователя Facebook, а также присвоить себе любую роль, в том числе стать редактором какой-либо страницы. По словам исследователя, атаку можно провести против любых страниц, включая те, что принадлежат известным политикам и бизнесменам.

Кумар разместил в своем блоге видеоролик, демонстрирующий проведение атаки.

Как утверждает эксперт, он 29 августа проинформировал специалистов Facebook об уязвимости, и она была ликвидирована 6 сентября. В результате исследователь получил премию в 16000 долларов. Как выяснилось, большой размер вознаграждения обусловлен тем, что во время исправления ошибки, найденной Кумаром, была выявлена и устранена еще одна опасная уязвимость.