Целые армии хакеров, как «белых», так и «черных», исследуют разные сегменты кода Facebook на наличие багов. Но в случае с рекламным ПО Facebook их активность намного ниже, поэтому популярная соцсеть решила увеличить выплаты за выявление уязвимостей в этом коде.

До конца года, как заявили представители Facebook, выплаты за найденные и верифицированные в рамках Bug Bounty уязвимости будут увеличены вдвое.

«Не так давно мы сами провели аудит безопасности данного сегмента, обнаружили и закрыли некоторое количество брешей, но нам бы хотелось воспользоваться помощью сообщества, чтобы удостовериться, что мы ничего не упустили, — заявил инженер по безопасности Facebook Коллин Грин (Collin Greene). — Мы хотим мотивировать исследователей, чтобы они более активно изучали этот сегмент кода и помогали защищать компании, использующие наше рекламное решение».

Код рекламного ПО, как утверждает Facebook, в основном управляет ролями и полномочиями пользователей, включая разрешения на просмотр и редактирование биллинговых данных. Грин подтвердил, что некоторые из уже исправленных уязвимостей прислали именно участники Bug Bounty, но этого недостаточно для того, чтобы расхожие уязвимости в рекламном ПО были запатчены в такой же степени, как другие части кода Facebook.

«На этом этапе призовой программы мы довольно редко видим распространенные баги, например межсайтовый скриптинг, — признался Грин. — Чаще всего нам представляют такие уязвимости, как некорректная проверка полномочий или ее отсутствие; низкий порог для скорости передачи данных, что чревато скрейпингом; подделка межсайтовых запросов и проблемы с SWF-файлами».

Facebook определила приоритетные области рекламного ПО для исследования в рамках программы Bug Bounty. Например, в пользовательском интерфейсе, включающем Ads Manager и Power Editor — инструменты для создания и публикации рекламных объявлений, уже был обнаружен ряд багов, связанных с управлением правами пользователей. Кроме того, Facebook хочет привлечь внимание «белых» хакеров к безопасности Ads API: в июле был обнаружен серьезный баг в API, из-за которого любой пользователь мог осуществлять вызов устаревшего REST API. Эксплуатация этой уязвимости позволяет получить доступ к личным сообщениям, заметкам, черновикам, контактным данным, а также возможность редактировать и публиковать статусы, комментировать, создавать альбомы и выгружать фотографии и другой контент — об этом сообщил исследователь Стефан Склафани (Stephen Sclafani).

Функция «Аналитика» в рекламном модуле Facebook, используемая для оценки эффективности рекламной кампании, тоже имеет проблемы с правами доступа. Они были обнаружены посредством эксплойта с использованием токена Graph API.

Программе Bug Bounty, запущенной Facebook, уже три года; за истекший период было выплачено более $3 млн в виде вознаграждений. В текущем году Facebook выплатила $33,5 тыс. за обнаружение XXE-уязвимости, предоставляющей атакующему возможность считывать файлы с сервера Facebook и удаленно выполнять код. Такой серьезный баг вынудил Facebook отключить внешние сущности и провести аудит кода в конечных точках аналогичной конфигурации.

Слухи о  возможном повышении вознаграждений за баги в рекламном ПО Facebook ходили еще в апреле, когда компания объявила о том, что собирается увеличить размер сумм за обнаружение критических уязвимостей, изучив полученные данные за 2013 год. В прошлом году Facebook совокупно выплатила более $1 млн 330 «белым» хакерам; количество отчетов, присланных участниками, в том числе отвергнутых, увеличилось на 246%.

«Количество критических уязвимостей уменьшилось, и наши исследователи признаются, что обнаруживать баги становится намного труднее, — сказал тогда Грин. — Чтобы поощрить исследования в самых ценных для нас областях кода, мы будем повышать размеры выплат за обнаружение уязвимостей высокой степени критичности».

Категории: Кибероборона, Уязвимости