Facebook ページの管理者情報が漏れる脆弱性:ネパールの 19歳が発見して報奨金をゲット

Facebook Patches Vulnerability Exposing Page Admin Identity

2021/12/21 SecurityWeek — Facebook は、ページの管理者の身元を明らかにするために、悪用される可能性のある脆弱性について、ネパールの 10代の研究者に $4,750 のバグバウンティ報酬を支払った。このソーシャル・メディア上で、自社ブランドの認知度を高めようとする企業は、この Facebook ページを利用きまるが、ページの管理権限を持つ Facebook の個人アカウントは非公開となっている。

しかし、ネパールのポカラに住む 19歳の Sudip Shah は、Facebook for Android に存在する IDOR (Insecure Direct Object Reference) の脆弱性を悪用して、ページの管理者の身元を明らかにできることを発見した。

Shah は、Facebook for Androidで、他のページのライブビデオ・セクションに移動する際に、脆弱なエンド・ポイントを含むリクエストの page_id を変更すると、レスポンスの broadcaster_id パラメータに管理者の ID が含まれることを発見した。

この研究者は、「つまり、ページの管理者情報の漏洩につながり、ページのプライバシーに関わる問題となる。ページの管理者情報は非公開にすると意図されているため、その影響は大きい」と述べている。

この問題は、ライブビデオ機能が有効になっているページにのみに影響を与えるが、この機能を備えているページが大半であることから、ほとんどのページが影響を受けると推測される。また、大量に悪用する攻撃者は、リクエストの page_id を自動的に変更し、レスポンスの broadcaster_id をキャプチャできるスクリプトが必要だとも説明されている。

Shah は、この脆弱性が悪用する方法を示すビデオも公開している。この研究者は、セキュリティ上の欠陥の亜種として、攻撃者が変更した live_video_id をリクエストに含めることで、管理者の ID をレスポンスに流出させることが可能なことも発見したが、2つの欠陥の根本的な原因は同じである。

この脆弱性は、10月5日に Shah から Facebook に報告され、10月21日にはパッチがロールアウトされた。Facebook は、この研究者に $4,500 のバグ報奨金を支払うと伝えたが、$225 のボーナスが加算され、合計で $4,725 となった。

この IoT OT Sec News にも Facebook ページがあり、ブログ本体の WordPress と API 連携して、更新情報を配信してくれるので、とても重宝しています。そして、個人の Facebook アカウントが、ページの管理者になるので、便利といえば便利ですが、2つの性質の異なるものが、無理やり混在しているという感じがします。いろいろと苦労しているのでしょう。そしてページですが、ここでは広告が可能であり、その広告料が Facebook 最大の収入源となっています。それを考えると、報奨金が $4,725 というのはケチ過ぎますよね。

%d bloggers like this: