- Meta soluciona una vulnerabilidad de seguridad en la plataforma de Facebook Ads
- El investigador que descubrió el defecto recibió una recompensa de 100.000 dólares
- La falla permitió al investigador tomar control efectivo del servidor de Facebook.
Meta otorgó al investigador de ciberseguridad Ben Sadeghipour una recompensa de 100.000 dólares después de que descubrió una vulnerabilidad en la plataforma publicitaria de Facebook en octubre de 2024.
La falla le permitió a Sadeghipour ejecutar comandos en el servidor interno de Facebook que alberga la plataforma, dándole control del servidor.
Según Sadeghipour, el error no solucionado le permitió secuestrar el servidor utilizando Headless Chrome, un clon de Chrome. navegador Los usuarios son operados desde una terminal de computadora para interactuar directamente con los servidores internos de Facebook.
Parte del investigador más amplio.
La falla en la plataforma estaba relacionada con el servidor que Facebook usa para crear y entregar anuncios, que era vulnerable a una falla previamente reparada encontrada en el navegador Chrome, que Facebook usa en su sistema de publicidad.
Sadiqipour el dijo TechCrunch Las plataformas de publicidad en línea son objetivos atractivos porque “están sucediendo muchas cosas en el trasfondo de la creación de estos 'anuncios', ya sean videos, texto o imágenes”.
“Pero en el fondo de todo esto, hay una gran cantidad de datos que se procesan en el lado del servidor, lo que abre la puerta a muchas vulnerabilidades”, dijo Sadeghipour.
El investigador subraya que no probó todo lo que pudo haber hecho una vez entró en el servidor, aunque “lo que lo hace peligroso es que pudo haber sido parte de la infraestructura interna”.
Después de informar la vulnerabilidad a Meta, tomó sólo una hora arreglar la falla, dijo Sadeghipour, señalando que su descubrimiento fue parte de “una investigación en curso sobre una aplicación específica para un propósito específico”. Este error en particular tardó algunas horas en identificarse, pero Meta trabajó con él para solucionarlo rápidamente y le ofreció una recompensa que “supera” las expectativas, confirmó en un mensaje. Compartir LinkedIn.
Las recompensas por errores han aumentado recientemente, con… Google está aumentando significativamente sus recompensas Para los investigadores que participan en el programa, la investigación en seguridad se vuelve más rentable.