いやぁ、バグ発見賞金(Bug Bounties)って役に立つもんだね!
以前、Facebook上のあなたの写真を誰でも消せる、というバグがあったけど、今度は、似たようなバグがビデオでも見つかった。
セキュリティの研究家Dan Melamedが見つけた、今では直っているそのバグは、イベントに添付されるビデオにあった。Melamedは、その発見で1万ドルの賞金をもらった。
そのバグの症状はこうだった:
- その悪いやつはFacebookのイベントを作る
- そいつはそのイベントのページへ行ってビデオをアップロードする
- ビデオのアップロードが終わったらFiddlerのようなブラウザーツールを使ってリクエストを書き換え、ビデオのIDを今アップロードしたばかりのビデオと、ハイジャックして消したいビデオの、IDを入れ替える。そしてそのリクエストを送る。
- 書き換えたリクエストを送ったら、イベントに対する“Delete Post”ボタンを押す。すると、そいつがポストしたイベントと、元のビデオの両方が消える。
比較的単純なバグだけど、Facebookのコードベースは複雑巨大だから、長年放置された可能性もあるし、バグ発見賞金制度があったからこそ、被害の拡大を未然に防げた、と言える。なにしろ、Kate Congerのこの記事によると、今では国防総省ですら、バグ発見賞金制度を設けている。
このバグではビデオのコメントも不能にできるので、被害者は、なんで急にみんな黙ってしまったのか?と怪訝に思うだろう。
でもこのバグはすでに直っているから、あわてる必要はない。Melamedがバグを報告したのは2016年の6月29日で、賞金1万ドルはそれから数週間後にもらえたそうだ。Facebookは、このバグが7月に直されたことを確認した。
[出典: Gizmodo]