Ertragreiche Meldung eines „Major Bug“
Für den Hinweis auf Schwachstellen zeigen sich betroffene Unternehmen oft erkenntlich. Wenn das Problem vom Unternehmen sogar als „Major Bug“ eingestuft wird, fällt eine Belohnung besonders hoch aus. Der Sicherheitsforscher Arun Sureshkumar hat einen dieser groben Patzer entdeckt und 16.000 US-Dollar eingefahren, wie t3n.de berichtete. Gefahr bestand nach Sureshkumar für zahlreiche Facebook-Seiten. Wie der Sicherheitsforscher herausfand, befand sich die Schwachstelle sich im Business Manager des Unternehmens.
Kampagnen-Dienst gekapert
Dem Sicherheitsforscher soll es gelungen sein mit geringem Aufwand, mit dem Kampagnen-Dienst verwaltete Seiten zu kapern. Sureshkumar gelangte in den Facebook Business Manager, in dem er eine unzureichende Überprüfung nutzte, um selbst generierte Werte unterzujubeln.
Bereits am 29. August hatte der Sicherheitsforscher Facebook über die Schwachstelle informiert. Danach kam am 6. September die Facebook-Mitteilung, dass die Sicherheitslücke behoben sei, was Sureshkumar selbst auch umgehend bestätigte. Wie verlautet ist Facebook beim Schließen der Lücke nach eigenen Angaben noch auf einen weiteren Fehler aufmerksam geworden. Der Sicherheitsforscher erhielt auch deswegen eine höhere Prämie als normalerweise im Bug-Bounty-Programm vorgesehen.
Weiterführende Links:
Google zahlt 100.000 US-Dollar Preisgeld für Hacker
arunsureshkumar.me: Blogpost Arun Sureshkumar
t3n.de: Sicherheitsforscher hätte reihenweise Facebook-Seiten übernehmen können
