Alfonso Maruccia

Instagram, la falla e le minacce di Facebook

Un ricercatore riesce a penetrare nel codice di Instagram, e da lì a compromettere l'intera piattaforma. Avvertito Facebook, invece di una taglia in denaro riceve minacce. E il caso diventa pubblico

Roma - Wesley Wineberg è il ricercatore di sicurezza che si è immedesimato nella parte di Alice ed è entrato nel paese delle meraviglie della scarsa opsec di Instagram, una piattaforma che è riuscito a compromettere in maniera sostanzialmente totale. Il ricercatore si è fermato prima di far danni, ha comunicato tutto all'azienda proprietaria del social network (Facebook) e per tutta risposta ha ricevuto minacce.

La tana del bianconiglio da cui Wineberg ha cominciato a sforacchiare Instagram corrisponde a sensu.instagram.com, un dominio dietro cui si nasconde un pannello di amministrazione remota del social network. Il CMS era accessibile pubblicamente da Internet, ed era connesso a un database PostgreSQL vulnerabile all'esecuzione di codice da remoto.

Wineberg è così riuscito a identificare gli oltre 60 account presenti nel database, compromettendo quelli protetti da password facili da crackare ("changeme", "instagram", "password" eccetera) e accedendo al pannello di controllo. Tra i file di configurazione scovati sul server, poi, il ricercatore ha identificato una vera miniera di informazioni dalla natura a dir poco delicata.
In sostanza, con i dati trovati sul server del CMS Wineberg è riuscito ad accedere ai server AWS contenenti le immagini, le chiavi di accesso, il codice sorgente e praticamente "tutte" le informazioni del social network. Un'arma di distruzione di massa, insomma, che in mano a un criminale avrebbe provocato la fine del business di Instagram.

Essendo un hacker white hat, però, Wineberg ha terminato le sue indagini contattando Facebook e informando la società di quello che aveva scoperto.
Il ricercatore si aspettava di ricevere un premio in denaro, e invece gli impiegati del social network hanno provato a intimorirlo fino ad arrivare alle minacce di cause legali formulate del CSO di Facebook nei confronti dell'azienda presso cui Wineberg è dipendente.

Il risultato finale del comportamento di Facebook è stato però la pubblicazione di un post sul blog di Wineberg con i dettagli delle vulnerabilità e della disavventura vissuta con il social network.

Alfonso Maruccia
Notizie collegate
  • SicurezzaSicurezza, i confini della disclosureDove finisce la descrizione di un bug e dove iniziano i dettagli del codice proprietario che certe aziende vorrebbero restassero riservati? Due security company a confronto
  • SicurezzaGoogle, quando la disclosure può attendereL'ultimatum della pubblicazione dei dettagli delle falle diventa meno rigido: Mountain View terrà conto dei giorni festivi, e concederà proroghe alle aziende che mostrino buona volontà. Microsoft non è pienamente soddisfatta
  • SicurezzaMercato delle vulnerabilità, i soldi non bastanoI ricercatori studiano il metodo più efficace per incrementare la disclosure delle vulnerabilità nel software e analizzano il mercato delle falle. Un mercato non necessariamente governato dalla legge della domanda e dell'offerta
20 Commenti alla Notizia Instagram, la falla e le minacce di Facebook
Ordina
  • L'articolo è come al solito estremamente carente e la storia parecchio diversa!
    In breve: Wineberg ha segnalato il bug ed ha incassato da FB 2500$.
    Non contento del bonus, con le credenziali recuperate durante il primo accesso, ha effettuato altri accessi non autorizzati
    durante i quali ha scaricato ulteriore materiale.
    Con i dati ottenuti ha effettuato altre due segnalazioni "minacciando" FB di divulgare tutto.
    non+autenticato
  • - Scritto da: Jack
    > L'articolo è come al solito estremamente carente
    > e la storia parecchio
    > diversa!

    Basta vedere chi ce la sta "raccontando" e tutto rientra nella normalità. Ficoso
  • - Scritto da: Jack
    > L'articolo è come al solito estremamente carente
    > e la storia parecchio
    > diversa!
    > In breve: Wineberg ha segnalato il bug ed ha
    > incassato da FB 2500$.
    >
    > Non contento del bonus, con le credenziali
    > recuperate durante il primo accesso, ha
    > effettuato altri accessi non autorizzati
    >
    > durante i quali ha scaricato ulteriore materiale.
    > Con i dati ottenuti ha effettuato altre due
    > segnalazioni "minacciando" FB di divulgare
    > tutto.

    Peccato che il tutto è diverso pure dalla tua "verità". I 2500$ NON sono mai arrivati al tipo! Ma è arrivata la telefonata al suo datore di lavoro, con minacce per la socetà,che fra l' altro aveva dato il consenso per aderire(nel tempo libero), al contest hackerWay di facebuk.

    I 2500$ promessi in un primo tempo NON SONO MAI ARRIVATI, perchè si è aperta una diatriba SULLE REGOLE da tenere durante il contest!

    E propio vero che siamo su PI. Dove ognuno dice la sua. Poi il Alphex_Twiks, farebbe meglio a stare proprio zitto. Causa fare ridere i POLLI!

    Io sono il fuddaro io fuddo :^() è voi siete O-> tonti Indiavolato
    non+autenticato
  • - Scritto da: Il Fuddaro
    >Peccato che il tutto è diverso pure dalla tua "verità".
    la mia non voleva affatto essere una una "verità" ma semplicemente un estremo riassunto di quanto non citato nell'articolo di PI.

    >I 2500$ NON sono mai arrivati al tipo!
    Anche se fosse è irrilevante. Se il tipo si fosse fermato alla prima segnalazione, quello sarebbe stato il suo compenso. E sono certo che FB l'avrebbe pagato regolarmente.

    >Ma è arrivata la telefonata al suo datore di lavoro, con minacce per la socetà
    Perchè il tipo è andato ben oltre la segnalazione.
    Con quanto trovato con il primo bug ha effettuato ulteriori accessi scovando altre vulnerabilità ed ha fatto una seconda segnalazione.
    In risposta gli hanno cortesemente ricordato che dopo aver individuato e segnalato un bug il ricercatore non deve sfruttare quanto trovato per continuare le ricerche ma deve interrompere la sua azione.

    Non contento ha iniziato una contestazione con FB e nel frattempo, ignorando "l'avvertimento" ha continuato ad effettuare accessi non autorizzati scovando altre vulnerabilità tutte frutto dell'albero avvelenato.
    Alla terza segnalazione FB non gli ha più risposto ed è passata all'attacco.

    La mia opinione è che il tipo puntava al milion-dollar bug. Quando gli hanno offerto solo 2,5k$ (quello che per FB valeva il primo bug) ha voluto a tutti i costi dimostrare la gravità del problema e si è cacciato nei guai.
    non+autenticato
  • Non si diventa bug hunter quando pare e piace. Per diventare bug hunter
    ci deve essere NSA che decide di nominare tramite il suo controllato GCHQ
    un nuovo bug hunter, come ad esempio James Farshaw.
    A questo punto uno dei maggiori IT mondiali mette a disposizione il premio
    e solo a questo punto si può segnalare il bug a chi di dovere e ricevere
    il titolo ufficiale di bug hunter e riscuotere il ricco premio però da
    non spendere i ricchi premi e cotillion, ma in una azienda dedita alla sicurezza.
    Certo che sto poveretto s'è fatto in testa un bel film! Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • Ora siamo certi che il prossimo che troverà una vulnerabilità in un loro prodotto se lo venderà al mercato nero Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: Pianeta Grande Mossa
    > Ora siamo certi che il prossimo che troverà una
    > vulnerabilità in un loro prodotto se lo venderà
    > al mercato nero
    > Rotola dal ridereRotola dal ridereRotola dal ridere

    E direi fanno pure bene!!!!!!

    E ora che i white hat diventino black hat dalla stizza, Rotola dal ridere
    non+autenticato
  • Ammazza che arroganza Facebook, anzichè ringraziare il tizio lo intimorisce e lo minaccia con azioni legali, questo per non perdere la faccia pubblicamente.

    Gli avesse dato anche solo 1000$ ci avrebbe fatto una bella figura.

    Tipico delle grandi multinazionali intimorire e minacciare con cause legali.

    Mai fare buone azioni con aziende miliardarie ma sfruttare sempre l'occasione, questo perchè si possono permettere tali danni, vista anche l'arroganza e la spocchiosità se li meritano tutti.
    non+autenticato
  • - Scritto da: Etype
    > Ammazza che arroganza Facebook, anzichè
    > ringraziare il tizio lo intimorisce e lo minaccia
    > con azioni legali, questo per non perdere la
    > faccia
    > pubblicamente.

    Quale faccia?

    > Gli avesse dato anche solo 1000$ ci avrebbe fatto
    > una bella
    > figura.

    E' un ottimo insegnamento per quelli che verranno dopo di lui.
    Quando troveranno una vulnerabilita' la rivenderanno a qualche servizio segreto straniero ottenendo gratitudine e corposo compenso.

    > Tipico delle grandi multinazionali intimorire e
    > minacciare con cause
    > legali.

    Per questo e' necessario un totale anonimato quando ci si relaziona con questa gentaglia.

    > Mai fare buone azioni con aziende miliardarie ma
    > sfruttare sempre l'occasione, questo perchè si
    > possono permettere tali danni, vista anche
    > l'arroganza e la spocchiosità se li meritano
    > tutti.
  • - Scritto da: panda rossa
    > Quando troveranno una vulnerabilita' la
    > rivenderanno a qualche servizio segreto straniero
    > ottenendo gratitudine e corposo
    > compenso.

    ... oppure il polonio. Ficoso

    Meglio farsi i razzi propri ... soprattutto se parli di servizi segreti.
  • - Scritto da: panda rossa

    > E' un ottimo insegnamento per quelli che verranno
    > dopo di
    > lui.
    > Quando troveranno una vulnerabilita' la
    > rivenderanno a qualche servizio segreto straniero
    > ottenendo gratitudine e corposo
    > compenso.

    Specie per Facebook ora ci puoi contareA bocca aperta
    non+autenticato
  • - Scritto da: Etype
    > Mai fare buone azioni con aziende miliardarie ma
    > sfruttare sempre l'occasione,

    Bravo, cosí in tempo zero ti ritrovi la "postale" fuori casa.
  • - Scritto da: aphex_twin
    > - Scritto da: Etype
    > > Mai fare buone azioni con aziende
    > > miliardarie ma sfruttare sempre
    > > l'occasione,

    > Bravo, cosí in tempo zero ti ritrovi
    > la "postale" fuori casa.

    "Sfruttare l'occasione" non implica necessariamente fare qualcosa di illegale.
    non+autenticato
  • - Scritto da: aphex_twin

    > Bravo, cosí in tempo zero ti ritrovi la
    > "postale" fuori
    > casa.

    Che smidollato....A bocca aperta
    non+autenticato
  • etype, il nostro "keyboard warrior" Annoiato
  • - Scritto da: aphex_twin

    > Bravo, cosí in tempo zero ti ritrovi la
    > "postale" fuori
    > casa.


    è la stessa cosa che sta rischiando il tizio, casomai tu non avessi letto l'articolo.
    non+autenticato
  • - Scritto da: aphex_twin
    > - Scritto da: Etype
    > > Mai fare buone azioni con aziende
    > miliardarie
    > ma
    > > sfruttare sempre l'occasione,
    >
    > Bravo, cosí in tempo zero ti ritrovi la
    > "postale" fuori
    > casa.

    Non hai letto la storia, vero?
  • - Scritto da: Etype
    > Ammazza che arroganza Facebook, anzichè
    > ringraziare il tizio lo intimorisce e lo minaccia
    > con azioni legali, questo per non perdere la
    > faccia
    > pubblicamente.
    >
    > Gli avesse dato anche solo 1000$ ci avrebbe fatto
    > una bella
    > figura.
    >
    > Tipico delle grandi multinazionali intimorire e
    > minacciare con cause
    > legali.
    >
    > Mai fare buone azioni con aziende miliardarie ma
    > sfruttare sempre l'occasione, questo perchè si
    > possono permettere tali danni, vista anche
    > l'arroganza e la spocchiosità se li meritano
    > tutti.

    Ecco perchè dovrebbero bruciarle citate aziende.Indiavolato Trovato il bug, lo sfrutti nel caso più doloroso possibile per sti vigliacchi, che sfruttano le greggi guadagnando su di loro.

    Io sono il fuddaro io fuddo :^()
    non+autenticato
  • Purtroppo troppo spesso e' cosi', ti prodighi per fare favori, cercare di migliorare cioe' che vedi intorno a te ed in cambio? minacce e dileggio.

    Poi non lamentiamoci se qualcuno alla guida di un aereo va a sbattere contro dei palazzi.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)