Recompensele Meta pentru informații despre Exploituri

Un cercetător din domeniul securității a descoperit o vulnerabilitate care permite evitarea autentificării în doi factori, ce afectează Instagram și Facebook, pentru care a fost compensat cu suma de 27.000 de dolari. Și alți cercetători din domeniul securității au detectat probleme similare, obținând, la rândul lor, recompense mari.

Numeroase companii pun la bătaie sume de bani pentru cercetătorii care scot la iveală vulnerabilități critice înainte ca infractorii să le găsească și să le exploateze. Este o metodă importantă prin care companiile își pot îmbunătăți produsele și serviciile online, acesta fiind și cazul vulnerabilităților descoperite la nivelul procesului 2FA (autentificare în 2 pași) pentru Facebook și Instagram.

„De asemenea, am rezolvat o eroare raportată de GtmMänôz din Nepal, care i-ar fi permis unui hacker să evite procesul 2FA prin SMS, exploatând o problemă cu limitarea traficului pentru a compromite codul PIN de verificare necesar pentru a confirma numărul de telefon al unei persoanei. Pentru această informație i-am acordat suma de 27.200 de dolari”, a explicat Meta într-un raport.

Același raport abordează și alte probleme depistate de diferiți cercetători din domeniul securității, asociate, în principal, cu procesul de autentificare sau alte buguri descoperite în procesul de autentificare în doi factori.

„Am primit o informare de la YaalaAbdellah, care a identificat un bug în fluxul de recuperare a contului Facebook cu ajutorul numărului de telefon, care îi putea permite unui atacator să reseteze parolele și să preia controlul asupra unui cont, dacă acesta nu ar fi protejat de 2FA”, a declarat Meta.

„Am rezolvat această problemă și nu am găsit indicii ale unui abuz. I-am oferit acestui cercetător cea mai mare recompensă a noastră, în valoare de 163.000 de dolari, ceea ce reflectă impactul maxim potențial al informației furnizate și beneficiile oferite prin program”, a adăugat compania.

Toate aceste probleme au fost rezolvate între timp, însă trebuie menționat faptul că nu au fost oferite aceleași asigurări că exploitul ce vizează procesul de autentificare în 2 pași identificat de Mänôz nu a fost utilizat niciodată în mod necorespunzător.

Rețelele de socializare rămân ținta principală a hackerilor, lucru care este evident prin numărul de atacuri și prin faptul că datele compromise de breșele de securitate anterioare ajung întotdeauna pe Dark Web.