Wesley Wineberg, seorang peneliti keamanan independen yang berpartisipasi dalam program pencarian bug Facebook, berhasil mencrack pertahanan Instagram dan hampir mendapatkan kontrol penuh atas layanan tersebut. Segera setelah white hate hacker tersebut mengungkapkan kerentanan terhadap Facebook, perusahaan mengancam akan menuntut, bukannya membayar kompensasi padanya.

Wineberg mulai penelitian ke sistem Instagram mengikuti saran yang ia terima dari seorang teman, bahwa halaman Web sensu.instagram.com adalah sebuah panel administrasi untuk layanan Instagram dan tersedia untuk umum melalui Internet.
SANG PENELITI KEAMANANAN MENGGUNAKAN AKSES BACKEND ADMINISTRATOR PANEL

Tampilah Sensu.instagram.com
Peneliti dengan cepat melacak perangkat lunak yang digunakan untuk menjalankan panel administrasi tersebut (Sensu-Admin), dan menggunakan penelitian yang lebih tua yang mengatakan perangkat lunak mungkin rentan terhadap RCE (Remote Code Execution), ia akhirnya berhasil memecahkan layanan dan mengakses satu dari file konfigurasi yang berisi perintah untuk database PostgreSQL Sensu.
Dalam database ini, Wineberg menemukan lebih dari 60 rekening milik karyawan Instagram dan Facebook. Dia mengikuti penyelidikan dengan mengambil beberapa string password, dienkripsi melalui bcrypt, dan melanjutkan untuk memecahkannya.
Sejak mereka menggunakan beberapa password yang cukup lemah (misalnya: changeme, instagram, password), hasil cracking muncul dalam beberapa menit, dan ia dengan cepat dapat melanjutkan penyelidikan bugnya, dengan masuk pada interface sensu.instagram.com.
Tapi sang whitehat hacker Wineberg tidak berhenti di sini, dan dia juga telah melihat file konfigurasi lainnya yang ia temukan pada server tersebut. Di sini, di salah satu file, ia menemukan kunci akses ke akun AWS (Amazon Web Services), yang kemudian digunakan untuk mengakses beberapa ember S3 (unit penyimpanan data).
Wineberg telah dengan sengaja menemukan source Instagram, sertifikat SSL, kunci API lain yang digunakan untuk berinteraksi dengan layanan lainnya, gambar pengguna, konten statis dari web instagram.com, atau sebagai peneliti ia sudah menemukan semuanya: "EVERYTHING"
Namun di sini adalah dimana petualangannya berakhir, karena mempertimbangkan dirinya seorang white hat hacker atau sang peneliti kerentanan sistem, dan juga karena keterbatasan program pencarian bug Facebook, ia harus berhenti sebelum melakukan kerusakan nyata ke layanan tersebut.
Dia mengungkapkan temuannya kepada staf keamanan Facebook, tapi percakapan tidak berjalan seperti yang ia diharapkan, dan bukannya menerima imbalan dari Facebook untuk kerja kerasnya, Wineberg diabaikan dan ditegur oleh karyawan perusahaan.
FACEBOOK MENGINTIMIDASI WINEBERG BERUPA ANCAMAN MELALUI GUGATAN HUKUM
Facebook CSO (Chief Security Officer), bahkan secara diam-diam memanggil Wineberg dan mengancam akan menggugatnya, kecuali Wineberg tetap diam tentang temuannya dan menghapus semua data yang mungkin  ia miliki.
Setelah tekanan, dan perilaku mafia-seperti yang dipamerkan oleh Facebook, sang White Hat Hacker memutuskan untuk go public dengan temuannya, dan menulis sebuah posting blog di mana ia memberikan kedua rincian teknis untuk mereproduksi bug dan percakapannya dengan divisi keamanan Facebook.
"Menurut pendapat saya, tindakan terbaik adalah menjadi transparan dengan semua temuan dan interaksi saya," kata Wineberg seperti dikutip dari Hackread. "Saya tidak ingin malu setiap individu atau perusahaan, tapi saya percaya bahwa saya dalam situasi ini benar-benar tidak pantas."
Awal tahun ini, Wineberg menerima hadiah $24.000 untuk menemukan kerentanan keamanan di layanan Microsoft Live.com.
FACEBOOK MERESPON ISU ANCAMAN TERSEBUT
Mengutip dari THN, setelah publikasi asli oleh sang pakar keamanan, Facebook mengeluarkan tanggapannya, mengatakan adanya klaim palsu dan Weinberg tidak pernah diberitahu untuk tidak mempublikasikan temuannya, bukan hanya diminta untuk tidak mengungkapkan informasi non-publik yang diakses. 
Raksasa media sosial membenarkan adanya bug RCE dalam domain sensu.instagram.com dan berjanji memberikan $2.500 sebagai hadiah untuk Weinberg dan temannya (yang awalnya mengatakan bahwa server dapat diakses secara terbuka). 
Namun, kerentanan lainnya yang memungkinkan Weinberg untuk mendapatkan akses ke data sensitif tidak memenuhi syarat, dengan Facebook mengatakan ia melanggar privasi pengguna saat mengakses data.
-----
Sepertinya memang ada ancaman dari pihak facebook yang ditutup-tutupi oleh pihak facebbok sendiri karena ancaman mereka telah terekspos ke publik.

0 comments:

Post a Comment

 
Top