Biliyorsunuz, son zamanlarda bir çok büyük şirket, açıklarını bulanlara yönelik “ödül programları (bug bounty)” düzenliyorlar. Bu programlar bir nevi “ortak akıl” kullanma yöntemi. Yani açıklarının birileri tarafından bulunması yerine, ödül yoluyla açıklarını ortaya çıkmadan öğreniyor oluyorlar.
İşte Facebook’un da böyle bir programı var ama bu sefer ilginç bir olay meydana geldi. Tayvan merkezli güvenlik firması Devcore’da çalıştığı belirten Orange Tsai takma isimli güvenlikçi şubat ayında sistemdeki bir açığı göstererek Facebook’dan 10.000 $ kazandı.
Orange Tsai, bir dosya paylaşım uygulaması üzerinden sızdığı Facebook’un sunucusundan Facebook elemanlarının verilerini almış ama sonra makinaya arka kapı üzerinden ulaşan başka birisini farketmiş.
Orange, bu hafta yayınladığı bir makalede[1], o başka birisinin Facebook’un Linux sunucusuna nasıl sızdığını yayınladı. Bu kişi sunucuya bir kötücül kod yerleştirmiş ve bu yolla, sunucuya bağlanan Facebook çalışanlarının adı, şifresi gibi bilgilerini dışarıdaki bir bilgisayara aktarıyormuş. Orange, kullanıcılar için sorun olmadığını ve bu kötücül kodun kullanıcıların verilerini aktarmadığını belirtiyor.
Gelelim Facebook tarafına; güvenlik mühendisi Reginaldo Silva, bu kötücül kodu daha önce ödül almak için Facebook sistemini zorlayan başka bir güvenlik araştırmacısının yerleştirdiğini söylüyor ve “Orange Tsai’nin bunu bize raporlamasına gerçekten çok memnun olduk. Bu olayda kullandığımız yazılım 3cü parti bir yazılımdı. Üzerinde tam kontrolümüz yoktu. Facebook üzerinde kullanıcı verilerini bulunduran sistemdelerden tamamen izole ettik. Bunu da daha iyi bir güvenlik için yaptık” şeklinde devam ediyor.
Silva’nın iddiasına göre, Orange ya da diğer kişi altyapının diğer bölümlerine ulaşamamışlar. Bunu da “2 rakip güvenlik araştırmacısı sistemi zorladı, bir tanesi bize durumu raporladı ve kendisine iyi bir ödül verdik. 2si de başka bir yere erişemedi” diyerek açıklıyor.
[1] How I Hacked Facebook, and Found Someone’s Backdoor Script
Kaynak : 