A Meta✴ pagou US$ 100.000 ao especialista independente em segurança cibernética Ben Sadeghipour por descobrir uma vulnerabilidade séria na plataforma. Ao analisar o sistema de veiculação de anúncios, Sadeghipour encontrou uma falha que lhe permitiu executar um comando em uma parte privada da infraestrutura de servidores do Facebook✴, obtendo efetivamente controle total do servidor.
Fonte da imagem: Velocidade do obturador/Unsplash
Conforme relatado pelo TechCrunch, a vulnerabilidade estava associada a um dos servidores usados pelo Facebook✴ para criar e exibir anúncios. Este servidor foi afetado por um bug previamente conhecido e corrigido no navegador Chrome, que o Facebook✴ utiliza em seu sistema de publicidade. Sadeghipour explicou que ao utilizar uma versão light do navegador Chrome, lançada através de um terminal, ele conseguiu interagir com os servidores internos da empresa e obter acesso para gerenciá-los como administrador.
«Presumi que se tratava de uma vulnerabilidade crítica que valia a pena corrigir, pois estava localizada dentro da sua infraestrutura”, escreveu Sadeghipour em seu e-mail para Meta✴. A empresa respondeu rapidamente à situação e pediu ao pesquisador que não realizasse mais testes até que o problema fosse resolvido. A correção levou apenas uma hora.
Sadeghipour também enfatizou o perigo do erro descoberto. Embora ele não tenha testado todas as funcionalidades possíveis que poderiam ser exploradas na infraestrutura do Facebook✴, ele alertou que a vulnerabilidade poderia potencialmente permitir o acesso a outros sites e sistemas dentro da infraestrutura da empresa. “Usando uma vulnerabilidade de execução remota de código, você pode contornar restrições e extrair dados diretamente tanto do próprio servidor quanto de outros dispositivos aos quais ele está conectado”, explicou.
Meta✴ recusou-se a comentar a pedido dos jornalistas, mas o fato de o bug ter sido corrigido foi confirmado. Sadeghipour também acrescentou que outras empresas cujas plataformas de publicidade ele testou tiveram problemas semelhantes.
Na CES 2025 anual, a MSI apresentou muitos novos produtos interessantes. Um deles foi um…
Conforme prometido, no dia 10 de janeiro foram abertas as inscrições para testes em rede…
Em 31 de dezembro de 2024, entrou em operação a última das 12 unidades de…
O Google viu um aumento acentuado nas estatísticas de solicitações de exclusão de contas do…
O WhatsApp Messenger em sua última versão beta está testando um novo design de aplicativo…
Na CES 2025, a IceGiant demonstrou seus sistemas de refrigeração líquida da série TITAN para…