2024 m. spalį saugumo tyrinėtojas Benas Sadeghipouras analizavo „Facebook“ skelbimų platformą, kai aptiko saugos spragą, leidžiančią jam vykdyti komandas vidiniame „Facebook“ serveryje, kuriame yra ši platforma, ir iš esmės suteikdamas serverio valdymą.
Po to, kai jis pranešė apie pažeidžiamumą „Facebook“ savininkui Metai, kuris, pasak Sadeghipouro, užtruko vos vieną valandą, socialinių tinklų milžinas jam skyrė 100 000 USD išmoką už klaidas.
„Manau, kad tai yra kažkas, ką galbūt norėsite taisyti, nes tai yra tiesiai jūsų infrastruktūros viduje“, – rašė Sadeghipour ataskaitoje, kurią atsiųsta Meta, sakė jis TechCrunch. Meta atsakė į jo pranešimą ir liepė Sadeghipour „susilaikyti nuo tolesnių bandymų“, kol jie ištaisys pažeidžiamumą.
Pasak Sadeghipour, problema buvo ta, kad vienas iš serverių, kurį „Facebook“ naudojo reklamoms kurti ir teikti, buvo pažeidžiamas dėl anksčiau ištaisytos „Chrome“ naršyklės, kurią „Facebook“ naudoja savo skelbimų sistemoje, trūkumo. Sadeghipouras teigė, kad ši nepataisyta klaida leido jam ją užgrobti naudojant begalvę „Chrome“ naršyklę (iš esmės naršyklės versiją, kurią vartotojai paleidžia iš kompiuterio terminalo), kad būtų galima tiesiogiai bendrauti su „Facebook“ vidiniais serveriais.
Sadeghipour, kuris nustatė „Facebook“ pažeidžiamumą bendradarbiaudamas su nepriklausomu tyrėju Alexu Chapmanu, „TechCrunch“ sakė, kad internetinės reklamos platformos yra sultingi tikslai, nes „kuriant šiuos „skelbimus“ nutinka tiek daug dalykų – nesvarbu, ar tai vaizdo įrašas, tekstas ar vaizdai. .
„Tačiau viso to esmė yra tai, kad serverio pusėje apdorojama daugybė duomenų ir tai atveria duris daugybei pažeidžiamumų“, – sakė Sadeghipour.
Tyrėjas teigė neišbandęs visko, ką galėjo padaryti vieną kartą „Facebook“ serveryje, tačiau „tai pavojinga tuo, kad tai tikriausiai buvo vidinės infrastruktūros dalis“.
„Kadangi vykdome kodą, galėjome bendrauti su bet kuria tos infrastruktūros svetaine“, – sakė Sadeghipour. „Naudodami (nuotolinio kodo vykdymo pažeidžiamumą) galite apeiti kai kuriuos iš šių apribojimų ir taip pat tiesiogiai ištraukti informaciją iš paties serverio ir kitų įrenginių, prie kurių jis turi prieigą.
„Meta“ atstovė spaudai Nicole Catalano patvirtino, kad gavo „TechCrunch“ prašymą pakomentuoti, bet iki spaudos laiko nekomentavo.
Sadeghipour taip pat teigė, kad panašios skelbimų platformos, kurias valdo kitos įmonės ir kurias jis analizuoja, yra pažeidžiamos panašių spragų.