2024 年 10 月,Facebook 向一名研究人员支付了 10 万美元,因为他发现了一个漏洞,该漏洞使他获得了访问内部服务器的命令权限。
TechCrunch 最早报道了 Facebook 向安全研究员 Ben Sadeghipour(@NahamSec)支付了 10 万美元,以奖励他报告了一个允许他访问内部服务器的漏洞。
该研究人员强调,由于大量服务器端数据处理,在线广告平台存在漏洞,可能暴露出多个安全问题。
这位专家于 2024 年 10 月在探测 Facebook 的广告平台时发现了这个漏洞。他利用这个漏洞在公司内部服务器上执行命令,有效地控制了服务器。
萨德吉普尔通过公司的漏洞赏金计划向梅塔公司报告了这个漏洞,这家社交媒体巨头立即承认了这个问题,并进行了处理。
该漏洞源于 Facebook 的广告服务器使用了未打补丁的 Chrome 浏览器版本,使得 Sadeghipour 可以通过无头 Chrome 浏览器劫持该服务器。
据 TechCrunch 报道,“萨德吉普尔称,问题在于,Facebook 用于创建和发布广告的服务器之一易受此前在 Chrome 浏览器中发现的一个已修复漏洞的影响,而 Facebook 在其广告系统中使用了 Chrome 浏览器。萨德吉普尔说,这个未修补的漏洞允许他使用无头 Chrome 浏览器(本质上是用户从计算机终端运行的浏览器版本)劫持它,直接与 Facebook 的内部服务器交互。”
该研究人员没有继续测试利用该漏洞可能带来的所有影响,因为他向 Meta 报告后,该公司立即承认了这一问题,并要求他暂停活动,以便修复漏洞。
这种漏洞有可能让威胁者入侵公司内部基础设施的多个组件。其他组织也可能遭遇类似问题。
2020 年 10 月,萨德吉普尔作为研究人员团队的一员,报告了苹果公司漏洞赏金计划中的 55 个漏洞,获得了数十万美元的漏洞赏金。
由萨姆-库里(Sam Curry)、布雷特-布尔豪斯(Brett Buerhaus)、本-萨德吉普尔(Ben Sadeghipour)、塞缪尔-埃尔伯(Samuel Erb)和坦纳-巴恩斯(Tanner Barnes)组成的研究人员团队向苹果公司报告了总共 55 个漏洞,作为公司漏洞悬赏计划的一部分。
苹果公司的漏洞悬赏计划涵盖了所有漏洞,其中 11 个漏洞被评为严重漏洞,29 个漏洞被评为高度严重漏洞。
苹果公司在研究人员报告后几小时就解决了其中一些漏洞。
研究人员已经因这些问题获得了 32 笔奖金,总计 28.85 万美元,但他们很可能因报告的其他漏洞获得更多奖金。
发表评论
您还未登录,请先登录。
登录