آسیب‌پذیری فیس‌بوک به واسطه‌ی اینستاگرام

 وسلی وینبرگ، کارمند قراردادی شرکت امنیتی سیناک امروز در وبلاگ شخصی خود و رایانامه‌ای که به تریت‌پست ارسال کرده است اعلام کرده که یک ضعف امنیتی در زیرساخت اینستاگرام یافته است که به او اجازه‌ی دسترسی به کدهای منبع نسخه‌های اخیر اینستاگرام، گواهی‌نامه‌های SSL و کلیدهای محرمانه‌ی وب‌گاه Instagram.com ، کلیدهایی که برای امضای کوکی‌های احراز هویت استفاده می‌شوند، حساب‌های اعتباری کارگزارهای رایانامه و کلیدهایی برای چند عمل‌کرد مهم و حیاتی دیگر شامل کلیدهای امضای برنامه‌های اندروید و آی‌او‌اس و کلیدهای اطلاعیه‌های ارسالی برای آی‌او‌اس، را داده است.

همچنین وینبرگ به حساب‌های کاربری کارکنان و رمزهای آنان نیز دسترسی پیدا کرده است، برخی از آن‌ها را شکسته و به تصاویر کاربری ذخیره شده در آمازون و اطلاعات دیگری دسترسی یافته است که گفته می‌شود تنها با نقض حریم خصوصی از سوی فیس‌بوک می‌توان در اختیار داشت.

وینبرگ می‌گوید: «این‌که گفته شود من اساساً به همه‌ی کلیدهای مخفی اینستاگرام دسترسی پیدا کرده‌ام شاید قضاوتی عادلانه باشد. با این کلیدهایی که من به دست آورده‌ام می‌توان به راحتی در اینستاگرم به جعل هویت پرداخته و خود را به جای هر کاربر معتبر دیگری جا زد. به این شکل می‌توانم به راحتی به حساب کاربری، تصاویر و اطلاعات هر کدام از کاربران دسترسی کامل داشته باشم. مشخص نیست که چرا باید استفاده از این اطلاعات به دست آمده برای به خطر انداختن کارگزارهای اصلی تا این حد ساده باشد، اما قطعا دسترسی به این داده‌ها فرصت‌های زیادی را برای شخص ایجاد می‌کند.»

نحوه‌ی دسترسی وینبرگ به گنجینه‌ی کلیدهای اینستاگرام که این‌گونه خشم فیس‌بوک را برانگیخته است، توضیح داده شده است. وینبرگ سه ایراد متفاوت را یافته و آن‌ها را در تاریخ میان ۲۱ اکتبر تا یکم دسامبر گزارش داد. او برای اولین گزارش خود ۲۵۰۰ دلار دریافت کرد ولی دومین و سومین گزارش او به فیس‌بوک واکنش‌های بسیار متفاوتی را از سوی فیس‌بوک موجب شد که با هشداری مبنی بر این‌که تحقیق وینبرگ فراتر از محدوده‌ی برنامه‌‌ی «پاداش در برابر گزارش» رفته است و در پایان با تماسی از سوی مدیر اجرایی شرکت فیس‌بوک به مدیرعامل شرکت Synack جی کاپلان خاتمه یافت؛ که در ضمن آن تهدید کرد اقدامات قانونی و شاید قضایی را علیه وینبرگ به کار خواهد گرفت. در بیانیه‌ای که در فیس‌بوک منتشر شد، استاموس گفت که ورود وینبرگ به داده‌های سامانه‌ و کاربران این شرکت نه مجاز و نه اخلاقی بوده است. آن‌ها همچنین وینبرگ را متهم کردند که از جایزه‌ی داده شده خرسند نبوده است و در نتیجه می‌خواهد درباره‌ی کلیدها و دیگر داده‌هایی که به دست آورده است مطالبی را انتشار دهد. استاموس با گفتن این نکته که عقیده دارد وینبرگ این کار را به نفع شرکت Synack انجام داده است، به کاپلان مدیرعامل این شرکت تلفن زده است.

استاموس نوشته است: «من به Jay گفتم که ما نمی‌توانیم به Wes اجازه بدهیم که او سنتی را ایجاد کند که هر کس به خود اجازه دهد به داده‌های دیگران دسترسی پیدا کند و آن را بخشی از تحقیقات قانونی خود برای کشف حفره‌های امنیتی عنوان کند و می‌خواهم که این موضوع را خارج از بحث میان وکلای دو شرکت نگه دارم. من شرکت Synack و وینبرگ را به انجام اقدامات قانونی تهدید نکرده‌ام و از آن‌ها نخواسته‌ام که وینبرگ را اخراج کنند. من می‌گویم که رفتار وسلی به ضرر او و شرکت Synack خواهد بود، زیرا که از نظر ما باید معطوف به گزارش‌های قانونی RCE باشد و نه این‌که حول مسائل غیر ضروری و کارگزارهایS۳ و بارگیری اطلاعات دور بزند.»

استاموس گفت کاپلن به او گفته است که شرکت Synack سفارش این تحقیقات را به وینبرگ نداده است و از آن‌ها چشم‌پوشی نخواهد کرد.

وینبرگ در گفتگو با تریت‌پست:‌ «به نظر می‌رسد که نگرانی فیس‌بوک از این است که عموم مردم بدانند من چه اطلاعاتی را کسب کرده‌ام و این‌که این اطلاعاتی را که به دست آورده‌ام در معرض دید عموم قرار دهم.»

ضمناً فیس‌بوک در بیانیه‌ای اعلام کرده است که همه کلید‌هایی که وین برگ به آن‌ها دسترسی داشته‌ است تغییر یافته‌اند و همه راه‌هایی که وی به وسیله‌ی آن‌ها قادر به دسترسی به زیرساخت‌های اینستاگرام شده است، قطع گردیده است. فیس‌بوک مدعی است که وین‌برگ اطلاعات مربوط به نقاط آسیب‌پذیر را اعلام نکرده است و از مرزهای تعیین شده برای برنامه‌ی جایزه‌ی کشف حفره‌های امنیتی شرکت فراتر رفته است. بیانیه‌ی فیس‌بوک به این شرح است:

«ما به شدت از جامعه‌ی پژوهش‌گران امنیتی آی‌تی دفاع می‌کنیم و روابط بسیار خوبی با هزاران نفر از کسانی که در برنامه‌ی جایزه در برابر گزارش آسیب‌پذیری ما شرکت کرده‌اند بر قرار کرده‌ایم. این تعامل دو طرفه باید صادقانه باشد و شامل گزارش جزئیات این حفره‌های کشف شده باشد و از آن‌ها برای دسترسی به اطلاعات خصوصی دیگران به صورت غیرمجاز استفاده نشود. در این مورد پژوهش‌گر مورد نظر اطلاعات حفره‌‌های امنیتی را از تیم ما دریغ کرده است و از چارچوب برنامه‌ی ما فراتر رفته تا اطلاعات خصوصی و شخصی را از سامانه‌‌های ما دریافت کند. ما برای گزارش اولیه او و بر اساس کیفیت این گزارش به او جایزه‌ای پرداخته‌ایم حتی با وجودی که او اولین کسی نبود که این گزارش را به ما ارائه کرده است اما برای اطلاعات دیگری که از ما مخفی کرده است به او پولی پرداخت نمی‌کنیم. ما به هیچ عنوان نگفته‌ایم که او نمی‌تواند یافته‌های خود را منتشر کند- ما خواسته‌ایم که او از افشای اطلاعات خصوصی که با نقض دستورالعمل‌های برنامه‌ی ما به آن‌ها دسترسی یافته است جلوگیری کند. ما کاملاً متعهد هستیم که برای تحقیقات با کیفیتی که صورت می‌گیرد پاداش‌هایی را ارائه کنیم و به جامعه‌ کمک کنیم تا از فعالیت‌های سخت‌کوشانه محققان آموزش‌های لازم را فرا گیرند.»

ماجراجویی وین‌برگ با راهنمایی یکی از همکاران پژوهش‌گر او در مورد دسترس به یکی از وب کارگزارهای اینستاگرام که نمونه‌ی آمازون EC۲ استفاده می‌کند و بر خود ابزار نظارت Sensu را نصب دارد شروع شده است.

دسترسی به این وب‌گاه نیز توسط همین همکار پژوهش‌گر در چارچوب برنامه‌ی پاداش در برابر گزارش فیس‌بوک، به فیس‌بوک گزارش شده بود. اما وینبرگ ردپاها را دنبال کرد و به یک روبی به شدت رمزگذاری شده رسید که به نظر می‌رسید کاملاً محرمانه باشد. همان‌طور که معلوم است با استفاده از آن نه‌تنها می‌توان به جعل کوکی پرداخت بلکه وینبرگ می‌گوید که می‌توانست از deserialization این کوکی برای اجرای کد استفاده کند. با استفاده از این ابزار او می‌توانست محتویات یک پایگاه داده‌ی محلی Postgres را خالی کند تا به حساب‌های کاربری ۶۰ تن از کارکنان دسترسی پیدا کند که شامل رمزهای عبور رمزنگاری شده بودند. او توانست دوازده رمز عبور را بشکند که همه‌ی آن‌ها به گفته‌ی او بسیار ضعیف بودند.

او مشکل سرقت این روبی را در تاریخ ۲۱ اکتبر به وب‌گاه‌ اینستاگرام بر پایه‌ی Sensu گزارش داد و یک روز بعد او گزارش داد که توانسته است به حساب‌های کاربری کارمندان دسترسی پیدا کند. فیس‌بوک با قرار دادن وب‌گاه‌ Sensu پشت یک دیواره‌ی آتش به وینبرگ مبلغ ۲۵۰۰ دلار جایزه پرداخت کرد (در ۱۶ نوامبر). اگر چه وینبرگ در تاریخ ۲۸ اکتبر اشاره کرد که گزارش او در مورد حساب‌های ضعیف خارج از چهارچوب برنامه‌ی جایزه در برابر گزارش فیس‌بوک بدون هیچ توضیح دیگری ارزیابی شده است.

اگر چه کار به اینجا ختم نمی‌شود. او می‌گوید که به تنظیمات Sensu با دقت نگاه کرده و جفت کلیدهای AWS را یافته که ۸۲ باکت و یا حافظه S۳ آمازون را در برداشته‌اند. دسترسی به همه‌ی باکت‌ها به غیر از یکی از آن‌ها مقدور نبوده است اما در این باکت او توانسته‌ یک جفت کلید دیگر پیدا کند که به او اجازه داده تا محتویات همه ۸۲ باکت را بخواند. وین‌برگ نوشته است که او چندین باکت را بارگیری کرده که برخی از آن‌ها شامل فهرست‌ کلیدهای SSL ، حساب‌های اعتباری و دیگر کلیدهای امضاء بوده‌اند.

وین‌برگ چند رایانامه بین خود و فیس‌بوک را منتشر کرده است که در آن‌ها فیس‌بوک می‌گوید کار او محققان را تشویق می‌کند تا از آسیب‌پذیری‌هایی که یافته‌اند و دنباله‌های آن‌ها به برنامه‌ی «حفظ حریم خصوصی کاربران» ضربه بزنند.

در این بین استاموس Stamos با کاپلن Kaplan در شرکت Synack تماس می‌گیرد و به او گفته می‌شود که وین‌برگ یک کارمند قراردادی است و اجازه دارد که این نوع تحقیقات را در وقت آزاد خود انجام دهد- استاموس می‌گوید که وین‌برگ به اطلاعات کارمندان و کاربران شبکه‌ی اینستاگرام دسترسی پیدا کرده است و می‌گوید که نمی‌خواهد تیم حقوقی فیس‌بوک وارد این قضیه شود و البته او مطمئن نبوده است که چگونه فیس‌بوک می‌تواند در این مورد از اقدامات قضایی استفاده کند.

وین‌برگ گفته است که او از شرکت Synack خواسته است که تأیید کند او هیچ‌کدام از جزییات به دست آورده را عمومی نکرده است و همه‌ی آنچه را که از اینستاگرام به آن دسترسی داشته و بارگیری کرده است حذف نموده است و تأیید کند که به هیچ کدام از اطلاعات کاربران دسترسی ندارد و موافق است که یافته‌های خود را به صورت خصوصی مطرح کرده و آن‌ها را انتشار ندهد.

وین برگ نوشته است:

«به نظر من بهترین کار در این زمینه این است که کاملاً در مورد یافته‌ها و عمل‌کردهای من به صورت شفاف عمل کنیم. من دنبال این نیستم که هیچ شخص یا شرکتی را سرافکنده کنم؛ اما با وجود این عقیده دارم که رفتار من در این وضعیت کاملاً نامناسب بوده است.»

من امیدوار هستم که تحقیقات امنیتی به شکل مناسبی دیده شده و مورد حمایت قانونی قرار گیرند. من معتقدم که باید جامعه‌ی امنیت فضای مجازی هدایت این کار را به عهده بگیرد. من تصور نمی‌کنم که تهدید محققان امنیت مجازی به هیچ وجه قابل قبول باشد، و من فکر می‌کنم که ما به عنوان یک جامعه بهتر می‌توانیم در این مورد رفتار کنیم. من نیاز ندارم که این مطالب را به عنوان هشداری برای سایر محققان بنویسم، هر کدام از آن‌ها خود از خطراتی که تحقیقات آن‌ها در بر دارد آگاه هستند. در عوض من امیدوارم که این اظهارات من بتواند نشان دهد که ما به عنوان یک جامعه تا چه میزان نیاز به حرکت داریم.»

وینبرگ به وب‌گاه‌ Threatpost می‌گوید که او همه‌ی اطلاعاتی را که از کارگزار S۳ به دست آورده است حذف کرده است و نمی‌خواسته هیچ‌کدام از آن‌ها را در معرض انتشار عموم قرار دهد.

او به Threatpost گفته است: «واقعاً چندین نقطه ضعف در مورد کارگزارهای میزبان آمازون وجود دارد. مادامی‌که تغییر تنظیمات کلیدهای دسترسی آمازون تا به این میزان آسان است، مشخص نیست که آن‌ها دیگر مشکلات مربوطه را چگونه می‌خواهند حل کنند. مشکلات اساسی شامل فقدان دسترسی به نظارت صحیح است، به طوری‌که هنوز مشخص نیست که آن‌ها قادر باشند تعیین کنند آیا چنین آسیب‌پذیری‌هایی توسط مهاجمان دیگر در گذشته مورد استفاده قرار گرفته است یا خیر؟»