Ο Manjesh S, ένας ερευνητής ασφαλείας εντόπισε ένα λογικό σφάλμα στα Facebook group. Ο ερευνητής υποστηρίζει ότι το σφάλμα είναι πολύ εύκολο να γίνει εκμεταλλεύσιμο και μπορεί να έχει μεγάλο αντίκτυπο.

Το bug επιτρέπει σε έναν εισβολέα να εμποδίσει τον admin του Facebook group να αφαιρέσει χρήστες ή δημοσιεύσεις. Εάν ένας εισβολέας έχει δικαιώματα διαχειριστή, μπορεί απλά να μπλοκάρει τον αρχικό διαχειριστή της ομάδας, έτσι ώστε εκείνος να μην μπορεί να αφαιρέσει τον επιτιθέμενο από την ομάδα.

Εάν ο εισβολέας είναι ακριβώς σαν ένας κανονικός χρήστης και μπλοκάρει το διαχειριστή, ο διαχειριστής δεν θα είναι σε θέση να αφαιρέσει τη δημοσίευση του εισβολέα από το group.

Ο ερευνητής ενημέρωσε σχετικά με αυτό το σφάλμα το Facebook. Ωστόσο, σε πρώτη φάση, του είπαν ότι είναι θέμα προστασίας ιδιωτικής ζωής και δεν αφορά ανταμοιβή για ευπάθεια ασφάλειας.

Ο ερευνητής όμως διαπίστωσε πως κάποιος άλλος είχε λάβει 5.000 δολάρια ανταμοιβή για παρόμοιο bug ασφάλειας. Έτσι, ρώτησε το facebook γιατί το bug του δεν μπορεί να συμμετέχει στο πρόγραμμα ανταμοιβής. Αργότερα, το facebook συνειδητοποίησε την επίδραση του σφάλματος και αντάμειψε τον ερευνητή με 2000 δολάρια.

Source: