Wesley Wineberg, seorang peneliti keamanan independen yang berpartisipasi dalam program pencarian bug Facebook, berhasil mencrack pertahanan Instagram dan hampir mendapatkan kontrol penuh atas layanan tersebut. Segera setelah white hate hacker tersebut mengungkapkan kerentanan terhadap Facebook, perusahaan mengancam akan menuntut, bukannya membayar kompensasi padanya.
Wineberg mulai penelitian ke sistem Instagram mengikuti saran yang ia
terima dari seorang teman, bahwa halaman Web sensu.instagram.com adalah
sebuah panel administrasi untuk layanan Instagram dan tersedia untuk
umum melalui Internet.
SANG PENELITI KEAMANANAN MENGGUNAKAN AKSES BACKEND ADMINISTRATOR PANEL
 |
| Tampilah Sensu.instagram.com |
Peneliti dengan cepat melacak perangkat lunak yang digunakan untuk
menjalankan panel administrasi tersebut (Sensu-Admin), dan menggunakan
penelitian yang lebih tua yang mengatakan perangkat lunak mungkin rentan
terhadap RCE (Remote Code Execution), ia akhirnya berhasil memecahkan
layanan dan mengakses satu dari file konfigurasi yang berisi perintah
untuk database PostgreSQL Sensu.
Dalam database ini, Wineberg menemukan lebih dari 60 rekening milik
karyawan Instagram dan Facebook. Dia mengikuti penyelidikan dengan
mengambil beberapa string password, dienkripsi melalui bcrypt, dan
melanjutkan untuk memecahkannya.
Sejak mereka menggunakan beberapa password yang cukup lemah (misalnya:
changeme, instagram, password), hasil cracking muncul dalam beberapa
menit, dan ia dengan cepat dapat melanjutkan penyelidikan bugnya, dengan
masuk pada interface sensu.instagram.com.
Tapi sang whitehat hacker Wineberg tidak berhenti di sini, dan dia juga
telah melihat file konfigurasi lainnya yang ia temukan pada server
tersebut. Di sini, di salah satu file, ia menemukan kunci akses ke akun
AWS (Amazon Web Services), yang kemudian digunakan untuk mengakses
beberapa ember S3 (unit penyimpanan data).
Wineberg telah dengan sengaja menemukan source Instagram, sertifikat
SSL, kunci API lain yang digunakan untuk berinteraksi dengan layanan
lainnya, gambar pengguna, konten statis dari web instagram.com, atau
sebagai peneliti ia sudah menemukan semuanya: "EVERYTHING"
Namun di sini adalah dimana petualangannya berakhir, karena
mempertimbangkan dirinya seorang white hat hacker atau sang peneliti
kerentanan sistem, dan juga karena keterbatasan program pencarian bug
Facebook, ia harus berhenti sebelum melakukan kerusakan nyata ke layanan
tersebut.
Dia mengungkapkan temuannya kepada staf keamanan Facebook, tapi
percakapan tidak berjalan seperti yang ia diharapkan, dan bukannya
menerima imbalan dari Facebook untuk kerja kerasnya, Wineberg diabaikan
dan ditegur oleh karyawan perusahaan.
FACEBOOK MENGINTIMIDASI WINEBERG BERUPA ANCAMAN MELALUI GUGATAN HUKUM
Facebook CSO (Chief Security Officer), bahkan secara diam-diam memanggil
Wineberg dan mengancam akan menggugatnya, kecuali Wineberg tetap diam
tentang temuannya dan menghapus semua data yang mungkin ia miliki.
Setelah tekanan, dan perilaku mafia-seperti yang dipamerkan oleh
Facebook, sang White Hat Hacker memutuskan untuk go public dengan
temuannya, dan menulis sebuah posting blog di mana ia memberikan kedua
rincian teknis untuk mereproduksi bug dan percakapannya dengan divisi
keamanan Facebook.
"Menurut pendapat saya, tindakan terbaik adalah menjadi transparan
dengan semua temuan dan interaksi saya," kata Wineberg seperti dikutip
dari Hackread. "Saya tidak ingin malu setiap individu atau
perusahaan, tapi saya percaya bahwa saya dalam situasi ini benar-benar
tidak pantas."
Awal tahun ini, Wineberg menerima hadiah $24.000 untuk menemukan kerentanan keamanan di layanan Microsoft Live.com.
FACEBOOK MERESPON ISU ANCAMAN TERSEBUT
Mengutip dari THN, setelah publikasi asli oleh sang pakar
keamanan, Facebook mengeluarkan tanggapannya, mengatakan adanya klaim
palsu dan Weinberg tidak pernah diberitahu untuk tidak mempublikasikan
temuannya, bukan hanya diminta untuk tidak mengungkapkan informasi
non-publik yang diakses.
Raksasa media sosial membenarkan adanya bug RCE dalam domain
sensu.instagram.com dan berjanji memberikan $2.500 sebagai hadiah untuk
Weinberg dan temannya (yang awalnya mengatakan bahwa server dapat
diakses secara terbuka).
Namun, kerentanan lainnya yang memungkinkan Weinberg untuk mendapatkan
akses ke data sensitif tidak memenuhi syarat, dengan Facebook mengatakan
ia melanggar privasi pengguna saat mengakses data.
-----
Sepertinya memang ada ancaman dari pihak facebook yang ditutup-tutupi
oleh pihak facebbok sendiri karena ancaman mereka telah terekspos ke
publik.
0 comments:
Post a Comment