Een Taiwanese beveiligingsonderzoeker die erin slaagde een server van Facebook te hacken trof daar sporen van een andere hacker aan die inloggegevens van Facebookmedewerkers had verzameld, maar volgens de sociale netwerksite gaat het om een andere onderzoeker zonder kwade bedoelingen.
Onderzoeker Orange Tsai ontdekte op het domein files.fb.com een server van Facebook die voor het uitwisselen en synchroniseren van bestanden wordt gebruikt. Op de server draaide software van een derde partij die door Facebook wordt gebruikt. Hoewel erin het verleden in deze software kwetsbaarheden zijn aangetroffen, gebruikte Facebook de meest recente versie. Tsai ontdekte uiteindelijk vier zero day-lekken in de software waarmee hij de server wist over te nemen.
Tot zijn grote verbazing trof hij daar een webshell aan van iemand die eerder al toegang tot de server had verkregen. Deze aanvaller had een proxy toegevoegd op de inlogpagina voor Facebookmedewerkers om zo inloggegevens op te vangen. In totaal zouden al 300 inloggegevens zijn verzameld. Tsai informeerde Facebook over zijn bevindingen en ontving 10.000 dollar. De onderzoeker wilde zijn onderzoek publiceren, maar kreeg van Facebook het verzoek om hiermee te wachten totdat het forensisch onderzoek naar het incident was afgerond.
Op Hacker News laat Facebook weten dat ze blij zijn met melding van Tsai. De sociale netwerksite benadrukt dat het om software van een derde partij gaat waar het geen volledige controle over heeft. Daarom werd het op een geïsoleerd systeem gedraaid, los van de systemen met gegevens van Facebookgebruikers. Na de melding van Tsai werd een onderzoek ingesteld. Daaruit zou blijken dat de webshell en 'aanvaller' die Tsai ontdekte eigenlijk een andere onderzoeker was die ook aan het onderzoeksprogramma van Facebook meedeed.
De twee onderzoekers zijn er niet in geslaagd om andere delen van de Facebook-infrastructuur te compromitteren. "Een win-win-situatie: twee competente onderzoekers onderzochten het systeem, één rapporteerde wat hij ontdekte en kreeg een mooie beloning en geen van de onderzoekers slaagden erin om verdere toegang te krijgen", aldus Reginaldo Silva van Facebook.
Deze posting is gelocked. Reageren is niet meer mogelijk.