Facebook tăng gấp đôi tiền thưởng cho những ai tìm thấy lỗ hổng trong quảng cáo
Trong nỗ lực đảm bảo hệ thống quảng cáo không bị ảnh hưởng bởi các lỗ hổng bảo mật, Facebook đã quyết định tăng gấp đôi tiền thưởng cho các nhà nghiên cứu phát hiện ra lỗ hổng trong mã quảng cáo mạng xã hội này. Facebook đã tiến hành một cuộc kiểm tra toàn diện trên hệ thống quảng cáo và sửa ...
Trong nỗ lực đảm bảo hệ thống quảng cáo không bị ảnh hưởng bởi các lỗ hổng bảo mật, Facebook đã quyết định tăng gấp đôi tiền thưởng cho các nhà nghiên cứu phát hiện ra lỗ hổng trong mã quảng cáo mạng xã hội này.
Facebook đã tiến hành một cuộc kiểm tra toàn diện trên hệ thống quảng cáo và sửa một vài lỗ hổng đang tồn tại. Tuy nhiên công ty vẫn hy vọng các nhà nghiên cứu độc lập sẽ xác định được lỗ hổng mà đội ngũ công ty có thể đã bỏ qua. “Do lượng báo cáo lỗ hổng từ cộng đồng Whitehat rất lớn tập trung chủ yếu trên mã nguồn Facebook, chúng tôi hi vọng các nhà nghiên cứu sẽ tập trung vào phần quảng cáo để bảo vệ những doanh nghiệp sử dụng chúng” – Kĩ sư bảo mật Collin Greene cho biết.
Các nhà nghiên cứu bảo mật đã báo cáo những lỗ hổng liên quan đến quảng cáo trên Facebook bao gồm lỗ hổng đọc được một file cục bộ bất kì thông qua một symlink .zip, một lỗ hổng có thể sử dụng phiếu giảm giá quảng cáo nhiều lần mà không bị hết hạn và một lỗ hổng cho phép tên của một Page không công khai qua Ads Create Flow. Một lỗ hổng khác đã được vá bởi Facebook có thể khai thác mã độc JavaScript vào quảng cáo và khiến người dùng phát tán mã độc đó thông qua lỗ hổng CSRF.
Các nhà nghiên cứu quan tâm đến việc phân tích code quảng cáo của Facebook có thể tập trung vào giao diện người dùng, bao gồm công cụ quản lí quảng cáo và công cụ JavaScript hỗ trợ việc chỉnh sửa và upload, các API quảng cáo. Theo Facebook, có nhiều lỗ hổng nghiêm trọng ảnh hưởng đến giao diện người dùng liên quan đến việc thiếu kiểm tra hoặc kiểm tra không chính xác. “Trong các lỗ hổng của chương trình bug bounty, hiếm khi chúng tôi thấy các lỗ hổng như XSS. Những gì chúng tôi thường thấy nhiều hơn các lỗ hổng do thiếu sót hoặc kiểm tra sai lệch dẫn đến những vấn đề về scraping, edge-case CSRF và SWF”.
Đến nay Facebook đã chi trả 3 triệu đô la cho các nhà nghiên cứu lỗ hổng cho mạng xã hội này. Facebook không phải là công ty duy nhất tăng tiền thưởng. Google cũng thông báo thưởng 15000 đô la cho những lỗ hổng nghiêm trọng trên trình duyệt web.
Securityweek
