Facebook が4万ドルのバグ報奨金:アカウント乗っ取りが解消

Facebook Pays Out $40,000 for Account Takeover Exploit Chain

2021/09/02 SecurityWeek — 9月1日に、SNS 大手の Facebook は、脆弱性ハンターに与えられるバグバウンティの内訳について、より理解が進むよう、新たな支払いガイドラインを発表した。具体的は、新しいガイドラインでは、「あなたが提供した電子メール・アドレスまたは電話番号を用いてあなたを検索できる人」の項目にある、「コンタクト・ポイントの可視化設定におけるセキュリティ問題」が対象となる。

この、新ガイドラインでは、「あなたが提供した電子メール・アドレスまたは電話番号を用いてあなたを検索できる人」の設定が、『自分のみ』または『友達』になっているアカウントから、1つ以上の連絡先 (電話番号またはメール) を取得できることを証明した報告に対して、Facebook は最大で $10,000 ドルを支払うと説明している。

また、Facebook は、研究者への報酬額を決定する際に、悪用のためにユーザーの操作が必要かどうか、攻撃者が特権的な立場にいる必要があるかどうか、攻撃が Workplace に適用されるかどうか、などの要素を考慮している。緩和の要因が少ないほど、報奨金は高くなっていく。

今回の、新たに公開されたガイドラインと、従来からのアカウント乗っ取りガイドラインに基づき、あるセキュリティ研究者は、2つの脆弱性を連鎖させてユーザー・アカウントを乗っ取る方法を報告し、 $40,000 ドル の報奨金を獲得した。

その脆弱性の1つは、有効なユーザーの電子メールまたは電話番号から、対象となるユーザー ID を発見するものであり、そのユーザー ID を使って、Facebook が電話番号の用いる検証コードをブルートフォースで攻撃することで、ユーザー ID のパスワード・リセットを引き起こすというものだ。Facebook は、このシナリオについて、悪意を持って悪用した証拠は見つからなかったとし、この問題はすでに修正されていると述べている。

また、Facebookによると、新たに追加された電話番号と電子メールについて、コンタクト・ポイントを送信する際に、ユーザーには「自分だけ」表示されているにもかかわらず、デフォルトの設定が「友達」になっていることを発見した研究者に、$15,000 の懸賞金が授与されたとのことだ。

Facebook は、「メールと電話番号のバグを修正し、表示設定に影響があったと思われる人々に対して、それらの設定を修正した。今後、同様の問題が発生しないように、当社製品全体に修正プログラムを導入し、最大の潜在的影響に基づき報奨金を支払った。こうした情報が、スクレイピングの対象になったという証拠は、発見されなかった」とは述べている。

今回の発表は、この SNS プラットフォームが、研究者コラボレーション・ペイアウトを導入してから、約1週間後に行われている。このプログラムでは、共同で作業を行った研究者たちの間で、報奨金を分配することも可能だ。この種の報奨金は、研究者チームが協力して、セキュリティへの影響が大きい、複雑なバグチェーンを特定した場合に適用される。

最近のニュースを見ていると、バグではなく仕様だと、言い張るクラウド・ベンダーもいるようですが、Facebook が率先して、こうした問題を解決してくれると良いですね。影響力の大きな Facebook が、誰もが影響を受ける問題を、誰もが解るかたちで、セキュリティ研究者たちと解決していけば、脆弱性への対応に、新しい道が開けるかもしれません。できれば、CVE も付けてもらえると嬉しいですが、それは、まだ先の話なのかもしれません。

%d bloggers like this: