Facebook verdoppelt Prämie für Aufdeckung von Fehlern im Anzeigen-Code

Zu den häufigsten Sicherheitslücken gehören falsche Berechtigungsprüfungen, unzureichende Ratenbegrenzung, grenzwertige CSRF-Probleme sowie Flash-Probleme im Anzeigen-Code. Das soziale Netzwerk hat nach eigenen Angaben erst kürzlich eine „umfassende“ Sicherheitsprüfung für diesen Bereich abgeschlossen.

„Wir haben einige Sicherheitslücken gefunden und behoben, möchten aber Whitehats ermutigen, weitere Prüfungen durchzuführen, um zu sehen, was uns vielleicht entgangen ist“, so Facebook-Sicherheitsingenieur Collin Greene in einem Blog-Beitrag.

„Da die überwiegende Mehrzahl der Fehlerberichte, die wir gemeinsam mit der Whitehat-Community bearbeiten, sich auf die geläufigeren Teile des Facebook-Codes konzentrieren, möchten wir erreichen, dass Forscher sich mit der Anzeigenoberfläche vertraut machen. So sollen die Unternehmen, die sie verwenden, besser geschützt werden.“

Der Sicherheitsingenieur gab zudem eine Reihe von Tipps zum erfolgreichen Aufspüren von Fehlern im Anzeigen-Code und erwähnte einige Fehler im Anzeigensystem, die in der Vergangenheit bereits behoben werden konnten:

· Mehrmaliges Einlösen desselben Werbecoupons ohne Ablauf;

· Abrufen des Namens einer unveröffentlichten Seite über den Werbeanzeigenmanager durch Erraten der Seiten-ID;

· Lesen von beliebigen lokalen Dateien über einen .zip-Symlink;

· Einschleusen von JavaScript in Anzeigenbericht-E-Mails und anschließende Ausnutzung eines CSFR-Fehlers (Cross-Site Request Forgery), damit Opfer eine Malware-E-Mail an das jeweilige Ziel senden.

Neben APIs oder Analytics möchte Facebook Whitehats ermutigen, Fehler im Anzeigensystem auch „überall sonst“ aufzudecken.

„Es gibt eine Menge Code im Backend, um Anzeigen zielgruppenorientiert auszurichten, bereitzustellen und zu messen“, so Greene. „Auf diesen Code kann man zwar nicht direkt über die Website zugreifen, aber die wenigen Problemen, die in diesen Bereichen aufgedeckt wurden, hatten relativ gravierende Auswirkungen.“

Seit der Einführung der Prämien für neu gefundene Schwachstellen im Jahre 2011 haben Whitehats bereits mehr als 3 Millionen Dollar verdient. Erst im letzten Jahr hatte Yahoo! durch die Ablösung von T-Shirt-Prämien durch Geldbelohnungen für Aufsehen gesorgt. Damit reagierte der Technologiegigant auf die öffentliche Bloßstellung durch eine Gruppe Schweizer Sicherheitsforscher, die das Unternehmen für die Vergabe von Werbe-T-Shirts anstelle von Geld kritisiert hatte. Yahoo! hatte daraufhin angekündigt, die T-Shirt-Prämien durch Geldzahlungen von bis zu 15.000 Dollar für „neue, einzigartige und/oder risikoreiche“ Fehler zu ersetzen.

Weitere Informationen zu Facebooks Prämienprogramm finden „Fehlerjäger“ auch in diesem erst kürzlich veröffentlichten Leitfaden.

rn