14-latek znalazł lukę w Instagramie, za co Facebook wypłacił mu 25 tysięcy dolarów

14-letni haker z Brazylii znalazł krytyczną lukę w zabezpieczeniach Spark AR Studio Instagrama i to zupełnie przez przypadek. Swoje znalezisko przekazał Facebookowi, dzięki czemu dostał nagrodę w wysokości 25 tys. Dolarów.

– Cześć, jestem Andres Alonso, 14-letni Brazylijczyk. Dzisiaj wyjaśnię, jak przypadkowo znalazłem krytyczną lukę przechowywania XSS, kiedy tworzyłem własną zintegrowaną aplikację Instagrama – zaczyna swój wpis sprawca całego zamieszania.

Przypadek wart 25 tys. dolarów

W rzeczywistości nastolatkowi nie zależało na znalezieniu potencjalnych luk w zabezpieczeniach, tylko na rozwijaniu swojej własnej aplikacji. Jak napisał, zajmował się tworzeniem filtrów na Instagramie, ale żeby je zrobić, musiał zrozumieć, w jaki sposób Spark AR generuje linki filtrów, które można przetestować na urządzeniach mobilnych. 

W trakcie pracy nad swoim projektem zmienił nazwę pliku preview.arexport, przez co zmieniło się także powiadomienie o testowaniu filtrów, co skłoniło go do podjęcia próby użycia XSS ze złośliwym kodem, lecz bezskutecznie. Determinacja nie pozwoliła mu jednak spocząć na laurach, dlatego objął inną taktykę. Znalazł na stronie dwa metatagi z nazwą filtra w treści i zmienił na taką, zawierającą cudzysłowy, co naturalnie spowodowało pojawienie się tagów <meta> 

Również taka opcja zakończyła się niepowodzeniem z powodu ograniczenia metatagu i mógł zamknąć kod tylko podwójnymi cudzysłowami. W ramach ostatecznej próby spróbował użyć poniższego payloadu, który ostatecznie dał mu możliwość przekierowania użytkowników na dowolną stronę:

0;url=http:&#x2F;&#x2F;www.evilzone.com”HTTP-EQUIV=”refresh”any=”.arexport

Nastolatek swoje odkrycie zgłosił Facebookowi, który po przestudiowaniu zgłoszonej luki, zdecydował się przyznać Alonsowi 25 tys. dolarów. – Chociaż twój pierwotny raport dotyczy problemu z otwartym przekierowaniem, zbadaliśmy go i okazało się, ze można w nim umieścić XSS.

Czy można się wzbogacić na zgłaszaniu luk w oprogramowaniu?

Płacenie hakerom za wyszukiwanie błędów w oprogramowaniu jest już stałą praktyką. Wiele firm pozwala zarabiać na wyszukiwaniu problemów na ich stronach, dzięki czemu mogą dbać o zwiększenie bezpieczeństwa ich użytkowników. Badania przeprowadzone przez HackerOne pokazują, że etyczni hakerzy wynaleźli dwa razy więcej bugów w 2020 roku, niż w 2019, co przełożyło się na usunięcie ponad 180 tys. luk w zabezpieczeniach firm.

Już w ubiegłym roku hakerom na całym świecie przyznano ponad 44,75 miliona dolarów bug bounty, co oznacza, że potencjalna siła zarobkowa hakera przekracza dzisiejszą globalną średnią pensję IT, która na ten moment wynosi prawie 90 tys. dolarów rocznie. Aż 9 hakerów z 7 różnych krajów zarobiło na platformie HackerOne ponad 1 milion dolarów. 

Jak wskazuje CEO platformy, Marten Mickos, w dużej mierze taki stan rzeczy możemy zawdzięczać pandemii COVID-19, gdyż w trakcie jej trwania hakerzy zgłaszali o 28% więcej luk miesięcznie niż przed lockdownem. – W trakcie pandemii wszyscy zostaliśmy hakerami. Kwestionujemy status quo, testujemy nowe sposoby pracy i pokonujemy kolejne ograniczenia. […] Dzięki hakerom dostarczającym konkretne wyniki po przystępnej cenie nawet najbardziej tradycyjne branże są gotowe, aby wypróbować ich usługi.

Pełny raport HackerOne dostępny jest na ich stronie.


Zdjęcie główne artykułu pochodzi z unsplash.com.

Zapraszamy do dyskusji

Patronujemy

 
 
More Stories
Kawał historii internetu ocalony. Prasówka Technologiczna: 5.04.2019 r.