یک محقق امنیتی به مشاجره بر سر افشای یک آسیبپذیری امنیتی با فیسبوک پرداخته است. این آسیبپذیری نهتنها حفرهای در داخل این شبکهی اجتماعی است بلکه گفته میشود نشانههای فعالیتهای مجرمانه را نیز داراست.
وسلی وینبرگ، کارمند قراردادی شرکت امنیتی سیناک امروز در وبلاگ شخصی خود و رایانامهای که به تریتپست ارسال کرده است اعلام کرده که یک ضعف امنیتی در زیرساخت اینستاگرام یافته است که به او اجازهی دسترسی به کدهای منبع نسخههای اخیر اینستاگرام، گواهینامههای SSL و کلیدهای محرمانهی وبگاه Instagram.com ، کلیدهایی که برای امضای کوکیهای احراز هویت استفاده میشوند، حسابهای اعتباری کارگزارهای رایانامه و کلیدهایی برای چند عملکرد مهم و حیاتی دیگر شامل کلیدهای امضای برنامههای اندروید و آیاواس و کلیدهای اطلاعیههای ارسالی برای آیاواس، را داده است.
همچنین وینبرگ به حسابهای کاربری کارکنان و رمزهای آنان نیز دسترسی پیدا کرده است، برخی از آنها را شکسته و به تصاویر کاربری ذخیره شده در آمازون و اطلاعات دیگری دسترسی یافته است که گفته میشود تنها با نقض حریم خصوصی از سوی فیسبوک میتوان در اختیار داشت.
وینبرگ میگوید: «اینکه گفته شود من اساساً به همهی کلیدهای مخفی اینستاگرام دسترسی پیدا کردهام شاید قضاوتی عادلانه باشد. با این کلیدهایی که من به دست آوردهام میتوان به راحتی در اینستاگرم به جعل هویت پرداخته و خود را به جای هر کاربر معتبر دیگری جا زد. به این شکل میتوانم به راحتی به حساب کاربری، تصاویر و اطلاعات هر کدام از کاربران دسترسی کامل داشته باشم. مشخص نیست که چرا باید استفاده از این اطلاعات به دست آمده برای به خطر انداختن کارگزارهای اصلی تا این حد ساده باشد، اما قطعا دسترسی به این دادهها فرصتهای زیادی را برای شخص ایجاد میکند.»
نحوهی دسترسی وینبرگ به گنجینهی کلیدهای اینستاگرام که اینگونه خشم فیسبوک را برانگیخته است، توضیح داده شده است. وینبرگ سه ایراد متفاوت را یافته و آنها را در تاریخ میان ۲۱ اکتبر تا یکم دسامبر گزارش داد. او برای اولین گزارش خود ۲۵۰۰ دلار دریافت کرد ولی دومین و سومین گزارش او به فیسبوک واکنشهای بسیار متفاوتی را از سوی فیسبوک موجب شد که با هشداری مبنی بر اینکه تحقیق وینبرگ فراتر از محدودهی برنامهی «پاداش در برابر گزارش» رفته است و در پایان با تماسی از سوی مدیر اجرایی شرکت فیسبوک به مدیرعامل شرکت Synack جی کاپلان خاتمه یافت؛ که در ضمن آن تهدید کرد اقدامات قانونی و شاید قضایی را علیه وینبرگ به کار خواهد گرفت. در بیانیهای که در فیسبوک منتشر شد، استاموس گفت که ورود وینبرگ به دادههای سامانه و کاربران این شرکت نه مجاز و نه اخلاقی بوده است. آنها همچنین وینبرگ را متهم کردند که از جایزهی داده شده خرسند نبوده است و در نتیجه میخواهد دربارهی کلیدها و دیگر دادههایی که به دست آورده است مطالبی را انتشار دهد. استاموس با گفتن این نکته که عقیده دارد وینبرگ این کار را به نفع شرکت Synack انجام داده است، به کاپلان مدیرعامل این شرکت تلفن زده است.
استاموس نوشته است: «من به Jay گفتم که ما نمیتوانیم به Wes اجازه بدهیم که او سنتی را ایجاد کند که هر کس به خود اجازه دهد به دادههای دیگران دسترسی پیدا کند و آن را بخشی از تحقیقات قانونی خود برای کشف حفرههای امنیتی عنوان کند و میخواهم که این موضوع را خارج از بحث میان وکلای دو شرکت نگه دارم. من شرکت Synack و وینبرگ را به انجام اقدامات قانونی تهدید نکردهام و از آنها نخواستهام که وینبرگ را اخراج کنند. من میگویم که رفتار وسلی به ضرر او و شرکت Synack خواهد بود، زیرا که از نظر ما باید معطوف به گزارشهای قانونی RCE باشد و نه اینکه حول مسائل غیر ضروری و کارگزارهایS۳ و بارگیری اطلاعات دور بزند.»
استاموس گفت کاپلن به او گفته است که شرکت Synack سفارش این تحقیقات را به وینبرگ نداده است و از آنها چشمپوشی نخواهد کرد.
وینبرگ در گفتگو با تریتپست: «به نظر میرسد که نگرانی فیسبوک از این است که عموم مردم بدانند من چه اطلاعاتی را کسب کردهام و اینکه این اطلاعاتی را که به دست آوردهام در معرض دید عموم قرار دهم.»
ضمناً فیسبوک در بیانیهای اعلام کرده است که همه کلیدهایی که وین برگ به آنها دسترسی داشته است تغییر یافتهاند و همه راههایی که وی به وسیلهی آنها قادر به دسترسی به زیرساختهای اینستاگرام شده است، قطع گردیده است. فیسبوک مدعی است که وینبرگ اطلاعات مربوط به نقاط آسیبپذیر را اعلام نکرده است و از مرزهای تعیین شده برای برنامهی جایزهی کشف حفرههای امنیتی شرکت فراتر رفته است. بیانیهی فیسبوک به این شرح است:
«ما به شدت از جامعهی پژوهشگران امنیتی آیتی دفاع میکنیم و روابط بسیار خوبی با هزاران نفر از کسانی که در برنامهی جایزه در برابر گزارش آسیبپذیری ما شرکت کردهاند بر قرار کردهایم. این تعامل دو طرفه باید صادقانه باشد و شامل گزارش جزئیات این حفرههای کشف شده باشد و از آنها برای دسترسی به اطلاعات خصوصی دیگران به صورت غیرمجاز استفاده نشود. در این مورد پژوهشگر مورد نظر اطلاعات حفرههای امنیتی را از تیم ما دریغ کرده است و از چارچوب برنامهی ما فراتر رفته تا اطلاعات خصوصی و شخصی را از سامانههای ما دریافت کند. ما برای گزارش اولیه او و بر اساس کیفیت این گزارش به او جایزهای پرداختهایم حتی با وجودی که او اولین کسی نبود که این گزارش را به ما ارائه کرده است اما برای اطلاعات دیگری که از ما مخفی کرده است به او پولی پرداخت نمیکنیم. ما به هیچ عنوان نگفتهایم که او نمیتواند یافتههای خود را منتشر کند- ما خواستهایم که او از افشای اطلاعات خصوصی که با نقض دستورالعملهای برنامهی ما به آنها دسترسی یافته است جلوگیری کند. ما کاملاً متعهد هستیم که برای تحقیقات با کیفیتی که صورت میگیرد پاداشهایی را ارائه کنیم و به جامعه کمک کنیم تا از فعالیتهای سختکوشانه محققان آموزشهای لازم را فرا گیرند.»
ماجراجویی وینبرگ با راهنمایی یکی از همکاران پژوهشگر او در مورد دسترس به یکی از وب کارگزارهای اینستاگرام که نمونهی آمازون EC۲ استفاده میکند و بر خود ابزار نظارت Sensu را نصب دارد شروع شده است.
دسترسی به این وبگاه نیز توسط همین همکار پژوهشگر در چارچوب برنامهی پاداش در برابر گزارش فیسبوک، به فیسبوک گزارش شده بود. اما وینبرگ ردپاها را دنبال کرد و به یک روبی به شدت رمزگذاری شده رسید که به نظر میرسید کاملاً محرمانه باشد. همانطور که معلوم است با استفاده از آن نهتنها میتوان به جعل کوکی پرداخت بلکه وینبرگ میگوید که میتوانست از deserialization این کوکی برای اجرای کد استفاده کند. با استفاده از این ابزار او میتوانست محتویات یک پایگاه دادهی محلی Postgres را خالی کند تا به حسابهای کاربری ۶۰ تن از کارکنان دسترسی پیدا کند که شامل رمزهای عبور رمزنگاری شده بودند. او توانست دوازده رمز عبور را بشکند که همهی آنها به گفتهی او بسیار ضعیف بودند.
او مشکل سرقت این روبی را در تاریخ ۲۱ اکتبر به وبگاه اینستاگرام بر پایهی Sensu گزارش داد و یک روز بعد او گزارش داد که توانسته است به حسابهای کاربری کارمندان دسترسی پیدا کند. فیسبوک با قرار دادن وبگاه Sensu پشت یک دیوارهی آتش به وینبرگ مبلغ ۲۵۰۰ دلار جایزه پرداخت کرد (در ۱۶ نوامبر). اگر چه وینبرگ در تاریخ ۲۸ اکتبر اشاره کرد که گزارش او در مورد حسابهای ضعیف خارج از چهارچوب برنامهی جایزه در برابر گزارش فیسبوک بدون هیچ توضیح دیگری ارزیابی شده است.
اگر چه کار به اینجا ختم نمیشود. او میگوید که به تنظیمات Sensu با دقت نگاه کرده و جفت کلیدهای AWS را یافته که ۸۲ باکت و یا حافظه S۳ آمازون را در برداشتهاند. دسترسی به همهی باکتها به غیر از یکی از آنها مقدور نبوده است اما در این باکت او توانسته یک جفت کلید دیگر پیدا کند که به او اجازه داده تا محتویات همه ۸۲ باکت را بخواند. وینبرگ نوشته است که او چندین باکت را بارگیری کرده که برخی از آنها شامل فهرست کلیدهای SSL ، حسابهای اعتباری و دیگر کلیدهای امضاء بودهاند.
وینبرگ چند رایانامه بین خود و فیسبوک را منتشر کرده است که در آنها فیسبوک میگوید کار او محققان را تشویق میکند تا از آسیبپذیریهایی که یافتهاند و دنبالههای آنها به برنامهی «حفظ حریم خصوصی کاربران» ضربه بزنند.
در این بین استاموس Stamos با کاپلن Kaplan در شرکت Synack تماس میگیرد و به او گفته میشود که وینبرگ یک کارمند قراردادی است و اجازه دارد که این نوع تحقیقات را در وقت آزاد خود انجام دهد- استاموس میگوید که وینبرگ به اطلاعات کارمندان و کاربران شبکهی اینستاگرام دسترسی پیدا کرده است و میگوید که نمیخواهد تیم حقوقی فیسبوک وارد این قضیه شود و البته او مطمئن نبوده است که چگونه فیسبوک میتواند در این مورد از اقدامات قضایی استفاده کند.
وینبرگ گفته است که او از شرکت Synack خواسته است که تأیید کند او هیچکدام از جزییات به دست آورده را عمومی نکرده است و همهی آنچه را که از اینستاگرام به آن دسترسی داشته و بارگیری کرده است حذف نموده است و تأیید کند که به هیچ کدام از اطلاعات کاربران دسترسی ندارد و موافق است که یافتههای خود را به صورت خصوصی مطرح کرده و آنها را انتشار ندهد.
وین برگ نوشته است:
«به نظر من بهترین کار در این زمینه این است که کاملاً در مورد یافتهها و عملکردهای من به صورت شفاف عمل کنیم. من دنبال این نیستم که هیچ شخص یا شرکتی را سرافکنده کنم؛ اما با وجود این عقیده دارم که رفتار من در این وضعیت کاملاً نامناسب بوده است.»
من امیدوار هستم که تحقیقات امنیتی به شکل مناسبی دیده شده و مورد حمایت قانونی قرار گیرند. من معتقدم که باید جامعهی امنیت فضای مجازی هدایت این کار را به عهده بگیرد. من تصور نمیکنم که تهدید محققان امنیت مجازی به هیچ وجه قابل قبول باشد، و من فکر میکنم که ما به عنوان یک جامعه بهتر میتوانیم در این مورد رفتار کنیم. من نیاز ندارم که این مطالب را به عنوان هشداری برای سایر محققان بنویسم، هر کدام از آنها خود از خطراتی که تحقیقات آنها در بر دارد آگاه هستند. در عوض من امیدوارم که این اظهارات من بتواند نشان دهد که ما به عنوان یک جامعه تا چه میزان نیاز به حرکت داریم.»
وینبرگ به وبگاه Threatpost میگوید که او همهی اطلاعاتی را که از کارگزار S۳ به دست آورده است حذف کرده است و نمیخواسته هیچکدام از آنها را در معرض انتشار عموم قرار دهد.
او به Threatpost گفته است: «واقعاً چندین نقطه ضعف در مورد کارگزارهای میزبان آمازون وجود دارد. مادامیکه تغییر تنظیمات کلیدهای دسترسی آمازون تا به این میزان آسان است، مشخص نیست که آنها دیگر مشکلات مربوطه را چگونه میخواهند حل کنند. مشکلات اساسی شامل فقدان دسترسی به نظارت صحیح است، به طوریکه هنوز مشخص نیست که آنها قادر باشند تعیین کنند آیا چنین آسیبپذیریهایی توسط مهاجمان دیگر در گذشته مورد استفاده قرار گرفته است یا خیر؟»