Meta* выплатила исследователю по ИБ $100 тысяч за обнаружение уязвимости, которая позволяла выполнять команды на внутреннем сервере Facebook**. Уязвимость удалось найти в ходе анализа рекламной платформы соцсети.
Как рассказал изданию TechCrunch ИБ-исследователь Бен Садегипур, в октябре 2024 года он анализировал рекламную платформу Facebook** и обнаружил уязвимость безопасности, которая позволяла ему выполнять команды на внутреннем сервере соцсети, на котором размещалась эта платформа.
Проблема, по словам Садегипура, заключалась в том, что один из серверов, которые Facebook** использовала для разработки и распространения рекламы, был уязвим к ранее исправленной уязвимости, обнаруженной в браузере Chrome. Садегипур отправил отчёт в Meta*, и в компании попросили его «воздержаться от дальнейшего тестирования», пока ИБ-команда устраняет уязвимость.
По словам Садегипура, на исправление потребовался всего час. За выявление уязвимости Meta* заплатила вознаграждение в $100 тыс.
Как отмечает исследователь, платформы онлайн-рекламы — удобные мишени для хакеров, так как «в фоновом режиме создания рекламы происходит так много всего, будь то видео, текст или изображения».
«Но в основе всего этого лежит куча данных, которые обрабатываются на стороне сервера, и это открывает дверь для множества уязвимостей», — сказал Садегипур. Он добавил, что аналогичные рекламные платформы, которые используют другие компании, подвержены похожим уязвимостям.
Meta Platforms*, а также принадлежащие ей социальные сети Facebook** и Instagram**:
*признана экстремистской организацией, её деятельность в России запрещена
** запрещены в России
Источник новости: habr.com
