Alguna vez se preguntó cómo hackear Instagram o
cómo hackear una cuenta de facebook? Bueno, alguien lo hizo! Pero,
recuerde, es su responsabilidad informar de estos fallos para evitar acciones
legales.
Un investigador de seguridad independiente afirma
que fue amenazado por Facebook después de que responsablemente reveló una serie
de vulnerabilidades de seguridad y fallas de configuración que le permitieron
el éxito tuvo acceso a los datos confidenciales
almacenados en los servidores de Instagram,incluyendo:
·
Código fuente de la
página web de Instagram
·
Certificados SSL y
claves privadas para Instagram
·
Claves utilizadas
para firmar cookies de autenticación
·
Datos personales de
los Usuarios y Empleados de Instagram
·
Credenciales del
servidor de correo electrónico
·
Claves para más de
una media docena de otras funciones críticas
Sin embargo, en lugar de pagarle una recompensa,
Facebook ha amenazado con demandar al investigador de retener intencionalmente
fallas e información de su equipo.
Wesley Weinberg, investigador
senior de seguridad de SYNACK, participó en el programa de recompensas de
errores de Facebook y comenzó a analizar los sistemas de Instagram después de
que uno de sus amigos le comentara sobre un servidor potencialmente vulnerable
situado en sensu.instagram.com
El investigador encontró un RCE (ejecución remota de código) error en la
forma en que procesa los usuarios 'cookies de sesión que se utiliza
generalmente para recordar a los usuarios' detalles del registro de entrada.
El bug ejecución de código remoto fue posible
debido a dos debilidades:
2. El host que ejecuta una versión de Ruby (3.x) que
era susceptible a la ejecución de código a través de la cookie de sesión Rubí
La explotación de la vulnerabilidad; Weinberg fue
capaz de forzar al servidor a "vomitar" una base de datos que
contiene datos de acceso, incluidas las credenciales de los empleados de
Instagram y Facebook.
Aunque las contraseñas se cifran con 'bcrypt',
Weinberg fue capaz de romper una docena de contraseñas que habían sido muy
débil (como changeme, Instagram, contraseña) en pocos minutos.
TODO Expuesto
incluyendo Sus Selfies
Weinberg no se detuvo aquí. Dio un vistazo de
cerca a otros archivos de configuración que encontró en el servidor y descubrió
que uno de los archivos contenía algunas claves para Amazon cuentas de
servicios web, el servicio de computación en la nube utilizada para alojar instalación
de Instagram Sensu.
Estas claves enumeran 82 cubos Amazon S3 (unidades
de almacenamiento), pero estos cubos eran únicos.No encontró nada sensible en
el archivo más reciente de ese cubo, pero cuando miró a la versión anterior del
archivo, se encontró con otro par de claves que le permitió leer el contenido
de los 82 cubos.
Weinberg había tropezado inadvertidamente en casi
todo, incluyendo:
·
El código fuente de
Instagram
·
Certificados SSL y
claves privadas (incluyendo por instagram.com y * .instagram.com)
·
Claves de la API
que se utilizan para interactuar con otros servicios
·
Imágenes subidas
por los usuarios de Instagram
·
El contenido
estático del sitio web instagram.com
·
Credenciales del
servidor de correo electrónico
·
claves de firma /
app Android iOS
·
Otros datos
sensibles
"Decir que yo había tenido acceso a básicamente todo el material
secreto de Instagram probablemente sería una declaración justa", Weinberg escribió en su blog. "Con las claves que obtuve, ahora podía hacerse pasar
fácilmente por Instagram, o cualquier usuario válido o el personal. Mientras
que fuera de ámbito, yo habría sido fácilmente capaz de tener acceso completo a
la cuenta de cualquier usuario, imágenes y datos personales [] ".
Divulgación
Responsable, pero Facebook amenaza Demanda
Weinberg informó de sus hallazgos al equipo de seguridad de Facebook, pero
el gigante de las redes sociales le preocupaba que hubiese accedido a los datos
privados de sus usuarios y empleados, mientras que el descubrimiento del caso.
En lugar de recibir una recompensa de Facebook por su arduo trabajo,
Weinberg no estaba calificado para el programa de recompensas de errores por
parte de Facebook.
A principios de diciembre, Weinberg afirma que su jefe CEO SYNACK , Jay
Kaplan, recibió una llamada del jefe de seguridad de Facebook Alex
Stamos con respecto a las debilidades que Weinberg descubrió en
Instagram, las que dejaron a los usuarios de Instagram y
Facebook expuestos a un ataque devastador.
Stamos indicó que él "No quería tener que involucrar al
equipo legal de Facebook, pero que no estaba seguro si esto era algo por lo que
tenía que recurrir a autoridades" Weinberg escribió en su blog de en una sección titulada 'Amenazas e
intimidación . '
En la respuesta, Stamos publicó una declaración, diciendo que él " no
amenazó al proceso contra Synack [o Weinberg] tampoco [él] pidió [Weinberg]
para ser despedido "
Weinberg reportó sus hallazgos al equipo de
seguridad de facebook, pero el gigante de las redes sociales se preocupó de que
el hubiese accesado a información privada de sus usuarios y empleados mientras
encubría los problemas.
En lugar de recibir una recompensa de facebook por
su duro trabajo, Weinberg fue descalificado del del programa de búsqueda de
errores de facebook
A principios de diciembre, Weinberg afirma que su
jefe (CEO de Synack), Jay Kaplan, recibió una aterradora llamada del jefe de
seguridad de Facebook Alex Stamos, con respecto a las debilidades que Weinberg
descubrió en Instagram, debilidades que dejan la ventana abierta a un ataque
devastador a los usuarios de Facebook e Instagram.
Stamos ha declarado "que no quiere que el
equipo legal de Facebook se involucre, pero él no está seguro si esto era algo
que necesite la aplicación de la ley", Weinberg lo escribió en su blog en
una sección titulada "amenazas e intimidación"
En respuesta, Stamos emitió una declaración ,
diciendo que no amenazó con acciones legales contra Synack o Weinberg, ni pide
que Weinberg sea despedido
Stamos solo dijo que mantengan fuera las manos de los abogados de ambas
partes
Sign up here with your email
ConversionConversion EmoticonEmoticon