Facebookに誰もが誰のビデオでも消せるバグがあった(今はもうない)

buggd

いやぁ、バグ発見賞金(Bug Bounties)って役に立つもんだね!

以前、Facebook上のあなたの写真を誰でも消せる、というバグがあったけど、今度は、似たようなバグがビデオでも見つかった。

セキュリティの研究家Dan Melamedが見つけた、今では直っているそのバグは、イベントに添付されるビデオにあった。Melamedは、その発見で1万ドルの賞金をもらった。

そのバグの症状はこうだった:

  1. その悪いやつはFacebookのイベントを作る
  2. そいつはそのイベントのページへ行ってビデオをアップロードする
  3. ビデオのアップロードが終わったらFiddlerのようなブラウザーツールを使ってリクエストを書き換え、ビデオのIDを今アップロードしたばかりのビデオと、ハイジャックして消したいビデオの、IDを入れ替える。そしてそのリクエストを送る。
  4. 書き換えたリクエストを送ったら、イベントに対する“Delete Post”ボタンを押す。すると、そいつがポストしたイベントと、元のビデオの両方が消える。

比較的単純なバグだけど、Facebookのコードベースは複雑巨大だから、長年放置された可能性もあるし、バグ発見賞金制度があったからこそ、被害の拡大を未然に防げた、と言える。なにしろ、Kate Congerのこの記事によると、今では国防総省ですら、バグ発見賞金制度を設けている。

このバグではビデオのコメントも不能にできるので、被害者は、なんで急にみんな黙ってしまったのか?と怪訝に思うだろう。

でもこのバグはすでに直っているから、あわてる必要はない。Melamedがバグを報告したのは2016年の6月29日で、賞金1万ドルはそれから数週間後にもらえたそうだ。Facebookは、このバグが7月に直されたことを確認した。

[出典: Gizmodo]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。