Instagram : quand la chasse aux bugs tourne mal

Via /r/NetSec, NEXTINpact :

Un expert sécurité habitué des bug bounty s’est penché sur un serveur Instagram / Facebook suite à un tuyau d’une connaissance.
Le serveur faisait tourner une appli sous Ruby on Rails baptisée Sensu. Il s’est avéré que la seed cryptographique de l’application n’avait pas été changée de sa valeur par défaut permettant ainsi de générer des données de session valides et exploiter des faiblesses bien connues de RoR (expliquées dans ce très bon article sur phrack.org) pour faire exécuter du code Ruby.

Le chercheur a ainsi pu récupérer un shell sur ce serveur (qui n’aurait d’ailleurs pas du être accessible à tous) et a soumit le bug au programme de bounty de Facebook.

Se demandant s’il pouvait creuser un peu plus avec l’accès obtenu il s’est penché sur les règles imposées par Facebook sur la recherche de failles et leur exploitation et n’a rien relevé à ce sujet (les règles demandent seulement que la vie privée des utilisateurs et la bonne santé du service soient conservés).

De fichier de conf en comptes trouvés il est finalement parvenu sur une instance AWS S3 sur laquelle se trouvait tous les secrets d’Instagram (certificats, passwords d’API, code source…)

Ça n’a pas du tout plus à Facebook qui a refusé de payer le bounty sous le prétexte foireux de violer la vie privée des utilisateurs (ce qui n’a pas été le cas) et qui aurait fait pression sur l’employeur du chercheur…

Pour Facebook le code de bonne conduite consiste à s’arrêter dès qu’une vulnérabilité est découverte. Seulement ce n’est pas indiqué dans leurs règles alors que c’est le cas chez Google, Microsoft, etc…

Une réflexion au sujet de « Instagram : quand la chasse aux bugs tourne mal »

Les commentaires sont fermés.