Facebookの懸賞金プログラムが(数週間前のひどい出来事とは対照的に)うまくいく〈はず〉であることを示す好例。あるセキュリティー研究者は、誰でもFacebookのどんな写真でも ― あなたの写真でも、私のでも、Zuckerbergのでも ― 削除できてしまうバグを発掘し、発見の見返りにかなりの現金を受け取った。
Facebookのホワイトハット[正義の味方]プログラムの規定により、Facebookのバグを見つけ、規則に沿って報告した者には賞金が支払われる。どんなバグでも最低賞金額は500ドルで、バグの重症度によって増額される。私が聞いた範囲では、殆どの支払い金額は1500ドル程度だった。今回のバグに関する本人のブログによると、セキュリティー研究者のArul Kumarには、1万2500ドルが支払われた ― 基本懸賞額の約25倍だ。
なぜそれほど高額なのか? 恐らく、このバグがあまりにも、〈あまりにも〉簡単に再現できるからに違いない。URLのパラメータをいくつか変えるだけで、悪意あるユーザーが他のユーザーの写真を大量削除できるツールを容易に作れたらしい。
Arulによると、このバグは、ユーザーがレビューのために送った報告(不適切なプロフィールや写真、スパムなどの通報)のステータスを見るためのサポート・ダッシュボードの脆弱性につけ込んだものだ。
ユーザーが写真を通報し、Facebookがそれを強制削除しないと判断した場合、そのユーザーには、写真をアップロードしたユーザーがワンクリックで削除できるボタンのついた削除リクエストへのリンクが送られる。このリンクに、どうやら、弱点があった。
リンクのURLにある数字のペアを変更することによって、どのユーザーのどの写真でも ― その写真が実際誰の所有であれ、実際通報されたか否かによらず ― 削除できる、とArulは言う。例えば、誰か有名人アカウントの写真の削除リクエストを、自分の第2アカウントに送ることもできる。標的にされたユーザーは、自分の写真が消えてしまうまで気付かない。
Arulがこの脆弱性を実演しているビデオを下に貼った:
面白いことに、Arulはハックを実演する相手にMark Zuckerbergのアカウントを選んだ ― 数週間前、別の研究者が懸賞金を申請できなかった(Facebookは侵入のテストに実在アカウントを使うことを禁止しているため)時と同じ相手だ。ただし違うのは、Arulは実際にはZuckのアカウントに変更を加えていないことだ。以前の研究者は、バグを発見したニュースをZuckの本来プライベートなウォールに書き込んだのに対して、Arulはこのバグを利用して、すべてがどう働くかを示したが、実際に写真を削除する最後のボタンは決して押さなかった。
現在バグは修正されているはずだ。
[原文へ]
(翻訳:Nob Takahashi)