FacebookはInstagramのバグをセキュリティ研究者に訴えている

Facebookは、バグバウンティの開示の限界を克服しているかもしれないセキュリティ研究者との戦いに巻き込まれました。そして今、劇的なドラマがセキュリティコミュニティを分割してしまっています。

ドラえもんの中心には、Facebookが現在所有している画像共有サービスInstagram内で発見されたリモートコード実行(RCE)の欠陥を最近提出した研究員であるWes Winebergがあります。

セキュリティ専門家は、同社のバグバウンティプログラムの一環として、Facebookのセキュリティチームに問題を報告して、10月に重大なRCEの脆弱性を含む一連の欠陥と弱点を発見した。

ブログの記事では、セキュリティ会社Synackの請負業者は、Instagramのバックエンドシステムの最新のソースコード、SSL証明書と秘密鍵、Instagramの認証鍵に署名するための鍵、電子メールサーバーの資格情報、iOSとAndroidのアプリ署名キー、Twitter、Facebook、Flickr、Foursquare、TumblrのAPIキーなどがあります。研究者は従業員のアカウントにアクセスすることもできました。

ワインバーグは書いた

ワインバーグはこの3つの欠陥を悪用してこのデータを入手することができました。そのすべてがソーシャルネットワーキングの巨人に報告されました。最初はファンファーレなしで受け入れられ、Winebergは彼の仕事のために$ 2,500を提供されました。しかし、他の2つの脆弱性は、Instagramのクローゼットスケルトンの調査で倫理的行動の範囲を超えて研究者を非難したFacebookによって喜んで満たされていませんでした。

Facebookに掲載された声明では、ソーシャルネットワークの最高セキュリティ責任者、Alex Stamos氏は、Winebergの提出書類(2500ドルを手にした)は既に報告されていたが、とにかく報われたと主張している。報告時点までのすべては倫理的でしたが、その後の研究者の行動が彼に個人的に関与するように強制されたとStamosは主張しています。

Stamos氏によると、WinebergはRCEの欠陥を使ってAWS APIキーを見つけ出し、S3バケットを介してテクニカル情報やシステム情報などの非ユーザInstagramデータをダウンロードしていました。

ransomware攻撃のコスト:今年は10億ドル、ChromeはHTTP接続を安全ではないとラベル付け開始、Hyperledgerプロジェクトはギャングバスターのように成長している;今、あなたはその道で何かを破壊するUSB​​スティックを買うことができる

“AWSキーを使用してS3にアクセスできるという事実は、予想される動作であり、セキュリティ上の欠陥とはみなされません。データの意図的な除外はバグバウンティプログラムによって認められておらず、コアの問題を理解し、 Wesの倫理的行動ではありませんでした」とStamos氏は言います。

Stamos氏は、Winebergがバグの払い戻しの支払いに「不満」であると主張し、データのダウンロードについて書こうとしていると答えた。

これは物事が面白くなる場所です。 StamosはSynackのCEOに連絡することを認めている.Synack.comの電子メールアドレスとFacebookアカウントへの所属を理由に、研究者が会社を代表してFacebookを “想定”していたことである。研究者はバグバウンティプログラムに報告書を提出する必要があります。)

Stamos氏は、ジェイ・カプラン最高経営責任者(CEO)と話しながら、ワインバーグ氏は「倫理に反する」行動を取ったとFacebookは考えていると述べ、Facebookは脆弱性に関する報告書を書いている。彼が取ったInstagramデータ。

ポート・フェイルVPNセキュリティの欠陥により、あなたの実際のIPアドレスが明らかになり、ディーラーは、フォルクスワーゲンに、排出スキャンダルに対する集団訴訟を起こした;バグ賞金:研究者の現金を提供する企業は?今何が?あなたがダークウェブについて知らなかった10の事柄

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応

「私はジェイに、ウェスに、誰もが不必要な量のデータを流出させ、それを正当なバグ研究の一部と呼べる前例を設定することを許すことができないこと、そして両者を両弁護士の手に委ねようとした私はSynackやWesに対する訴訟を脅かさず、またWesが解雇されることを求めなかった」とStamos氏は言う。

弁護士の暗示された脅威はさておき、元々のバグが修正され、StamosはFacebookがセキュリティ上の脆弱性に関する報告をすばやく分類しなかったことを認めた。

ドラマは最初の段階で誤ったコミュニケーションの結果として展開されたかもしれないが、今や分割されたセキュリティコミュニティに印を残した。多くの研究者がStamosの投稿にコメントしていますが、そのいくつかはFacebookに同意していますが、多くの人は間違いを指摘して口に苦い味を残しています。

RCEの脆弱性がすでに分かっていたため、直ちに解決されるべきであり、研究者がこの脆弱性を提出する理由を前提に怒っている人もいました – 特にドラマが彼の職場に広がらない原因。

主張の主な骨は、マイクロソフトと違って、Facebookが研究者が欠陥を見つけたら追加の問題を突きつけてはいけないと言っているが、そのようなルールを特定してはならないとは特に言わないということだ。

1人のユーザーが指摘したように、明快さが重要です

Facebookはそのような制限を公表しておらず、まだそうではありません。あなたが他の制限に違反していなければ、ウサギの穴がどれくらい深いかを調べることが重要です。

それが彼らがしなければならないことではないなら、彼らの意図を明確にするためにいくつかの言葉を変えて、何の問題もないでしょう!

読んでください:トップピック

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン