いやぁ、バグ発見賞金(Bug Bounties)って役に立つもんだね!
以前、Facebook上のあなたの写真を誰でも消せる、というバグがあったけど、今度は、似たようなバグがビデオでも見つかった。
セキュリティの研究家Dan Melamedが見つけた、今では直っているそのバグは、イベントに添付されるビデオにあった。Melamedは、その発見で1万ドルの賞金をもらった。
そのバグの症状はこうだった:
その悪いやつはFacebookのイベントを作る
そいつはそのイベントのページへ行ってビデオをアップロードする
ビデオのアップロードが終わったらFiddlerのようなブラウザーツールを使ってリクエストを書き換え、ビデオのIDを今アップロードしたばかりのビデオと、ハイジャックして消したいビデオの、IDを入れ替える。そしてそのリクエストを送る。
書き換えたリクエストを送ったら、イベントに対する“Delete Post”ボタンを押す。すると、そいつがポストしたイベントと、元のビデオの両方が消える。
比較的単純なバグだけど、Facebookのコードベースは複雑巨大だから、長年放置された可能性もあるし、バグ発見賞金制度があったからこそ、被害の拡大を未然に防げた、と言える。なにしろ、Kate Congerのこの記事によると、今では国防総省ですら、バグ発見賞金制度を設けている
コメント