Meta pagou US$ 100 mil a um testador independente para descobrir a vulnerabilidade do Facebook

A Meta✴ pagou US$ 100.000 ao especialista independente em segurança cibernética Ben Sadeghipour por descobrir uma vulnerabilidade séria na plataforma. Ao analisar o sistema de veiculação de anúncios, Sadeghipour encontrou uma falha que lhe permitiu executar um comando em uma parte privada da infraestrutura de servidores do Facebook✴, obtendo efetivamente controle total do servidor.

Fonte da imagem: Velocidade do obturador/Unsplash

Conforme relatado pelo TechCrunch, a vulnerabilidade estava associada a um dos servidores usados ​​pelo Facebook✴ para criar e exibir anúncios. Este servidor foi afetado por um bug previamente conhecido e corrigido no navegador Chrome, que o Facebook✴ utiliza em seu sistema de publicidade. Sadeghipour explicou que ao utilizar uma versão light do navegador Chrome, lançada através de um terminal, ele conseguiu interagir com os servidores internos da empresa e obter acesso para gerenciá-los como administrador.

«Presumi que se tratava de uma vulnerabilidade crítica que valia a pena corrigir, pois estava localizada dentro da sua infraestrutura”, escreveu Sadeghipour em seu e-mail para Meta✴. A empresa respondeu rapidamente à situação e pediu ao pesquisador que não realizasse mais testes até que o problema fosse resolvido. A correção levou apenas uma hora.

Sadeghipour também enfatizou o perigo do erro descoberto. Embora ele não tenha testado todas as funcionalidades possíveis que poderiam ser exploradas na infraestrutura do Facebook✴, ele alertou que a vulnerabilidade poderia potencialmente permitir o acesso a outros sites e sistemas dentro da infraestrutura da empresa. “Usando uma vulnerabilidade de execução remota de código, você pode contornar restrições e extrair dados diretamente tanto do próprio servidor quanto de outros dispositivos aos quais ele está conectado”, explicou.

Meta✴ recusou-se a comentar a pedido dos jornalistas, mas o fato de o bug ter sido corrigido foi confirmado. Sadeghipour também acrescentou que outras empresas cujas plataformas de publicidade ele testou tiveram problemas semelhantes.