Un bug pagato solo 5k permetteva di vedere tutto
Buongiorno cari lettori, oggi parleremo di un bug in facebook.
Il bug è stato segnalato a Facebook nell'ambito del suo programma bug bounty, dopo di che il ricercatore ha ricevuto 5.000 dollari.
A volte la più grande delle minacce risiede nella più semplice delle vulnerabilità. È il caso di un rapporto di ricerca del ricercatore Shubham Bhamare che parla di un bug scoperto dall'autore su Facebook che ha permesso di scoprire l'identità degli amministratori della pagina senza il loro permesso.
Approfondendo i dettagli, come funziona il difetto è che supponiamo che qualcuno gestisca un gruppo associato a una pagina Facebook. Per nascondere la propria identità, la persona può rendere la pagina stessa come amministratore del gruppo e quindi tutte le attività di amministrazione su di essa si presenterebbero per conto della pagina.
Questo permette alle persone di nascondere la loro vera identità, qualcosa di cruciale per le pagine e i gruppi che condividono contenuti sensibili in paesi con una legislazione autoritaria e comunità estremiste.
Tuttavia, se l'amministratore ha creato un documento nel gruppo usando il nome della pagina come mostrato sopra, anche in questo caso, gli altri amministratori del gruppo potrebbero vedere il nome dell'amministratore reale attraverso l'opzione "Modifica cronologia", superando qualsiasi restrizione della privacy.
L'unico avvertimento è che un'opzione che permette agli altri membri del gruppo di modificare il documento deve essere deselezionata come mostrato sotto:
I nomi degli amministratori delle pagine esposte ai bug di Facebook attraverso la funzione doc del gruppo
Quando è stato segnalato a Facebook, questo per fortuna è stato rattoppato, ma successivamente è stato trovato un altro bug simile. Secondo il post del ricercatore sul blog, questa volta era nella funzione "file" presente nei gruppi. Anche questo, insieme a un'altra terza patch, è stato infine risolto entro il 9 febbraio 2019.
Infine, il ricercatore ha ricevuto 5000 dollari da Facebook, una bella somma comunque.
Per concludere, una tale vulnerabilità avrebbe potuto portare a conseguenze negative a causa della natura sensibile di molti gruppi. Pertanto, è molto importante che gli utenti cerchino qualsiasi altro bug nascosto che possa esporre le loro informazioni sensibili online e che le segnalino alle autorità competenti.
spero che questo articolo ti sia piaciuto, e ci vedremo ad un prossimo.
