- Uma falha de segurança encontrada na plataforma de anúncios do Facebook foi corrigida pela Meta
- O pesquisador que descobriu a falha recebeu uma recompensa por bug de US$ 100 mil
- A falha permitiu ao pesquisador assumir efetivamente o controle de um servidor do Facebook
A Meta concedeu ao pesquisador de segurança cibernética Ben Sadeghipour uma recompensa por bug de US$ 100.000 depois que ele descobriu uma vulnerabilidade de segurança na plataforma de anúncios do Facebook em outubro de 2024.
A falha permitiu que Sadeghipour executasse comandos no servidor interno do Facebook que hospedava a plataforma, dando-lhe o controle do servidor.
De acordo com Sadeghipour, o bug não corrigido permitiu que ele sequestrasse o servidor usando um navegador Chrome sem cabeça, que é uma versão do navegador que os usuários executam a partir do terminal do computador, para interagir diretamente com os servidores internos do Facebook.
Parte de um pesquisador mais amplo
A falha na plataforma estava conectada a um servidor que o Facebook utilizava para criar e entregar anúncios, que era vulnerável a uma falha previamente corrigida encontrada no navegador Chrome, que o Facebook utiliza em seu sistema de anúncios.
Sadeghipour disse TechCrunch as plataformas de publicidade online são alvos atraentes porque “há muita coisa acontecendo no contexto da criação desses ‘anúncios’ – sejam eles vídeos, textos ou imagens”.
“Mas no centro de tudo isso há um monte de dados sendo processados no lado do servidor e isso abre a porta para uma série de vulnerabilidades”, disse Sadeghipour.
O pesquisador confirma que não testou tudo o que poderia ter quando estava dentro do servidor, embora “o que torna isso perigoso é que provavelmente fazia parte de uma infraestrutura interna”.
Depois de relatar a vulnerabilidade ao Meta, o bug levou apenas uma hora para ser corrigido, disse Sadeghipour, observando que sua descoberta fazia parte de uma “pesquisa em andamento sobre um aplicativo específico com um propósito específico”. Essa falha em particular levou algumas horas para ser identificada, mas Meta trabalhou com ele para corrigir rapidamente o bug e ofereceu uma recompensa que estava “muito além” das expectativas, ele confirmou em uma postagem no LinkedIn.
As recompensas por bugs têm aumentado recentemente, com o Google aumentando drasticamente suas recompensas para os pesquisadores que participam do programa, de modo que a pesquisa em segurança está se tornando mais lucrativa.