「バグ報奨金の稼ぎ方」が少しわかりそうな「Facebookに存在するバグ脆弱性レポート」

ソフトウェアの脆弱性(ぜいじゃくせい)報告に対して報奨金を支払う「バグ報奨金プログラム」は、1億円を報奨金だけで稼ぐ「バグハンター」が存在するように、時には一獲千金を狙えるプラットフォームです。しかし、普通の人がソフトウェアの脆弱性を見つけるのは困難に思えるのも事実。セキュリティ研究者のAlaa Abdulridha氏がブログで公開している「Facebookに存在していたパスワードを変更できる脆弱性レポート」は、そんなバグ報奨金を少し身近に感じられる内容です。

How I hacked Facebook: Part One – Alaa Abdulridha
https://alaa.blog/2020/12/how-i-hacked-facebook-part-one/

Abdulridha氏は新型コロナウイルス感染拡大で生まれた時間を利用して、ウェブアプリケーションに侵入して脆弱性を見つけ出すペネトレーションテストの認定試験「OSWE」の資格を取得したとのこと。Facebookのサブドメイン「legal.tapprd.thefacebook.com」内の「HTMLをPDFに変換する機能」の脆弱性を見つけ出し、Facebookから1000ドル(約10万4000円)の報奨金を受け取ったという記事がきっかけとなり、「legal.tapprd.thefacebook.com」へのペネトレーションテストを実行することに決めたそうです。

まずAbdulridha氏はソフトウェアの不具合を見つけ出すファジングツールを利用して、ウェブサイト内にどんなページが存在するのかを探索。ツールによる探索の結果、アクセス禁止を表す「403エラー」を返すページが43ページ存在することがわかりました。

さらに、「https://legal.tapprd.thefacebook.com/tapprd/portal/authentication/login」は403エラーとならず、以下のようなログイン画面が表示されることも判明。

ログイン画面を調査すると、さらに「https://legal.tapprd.thefacebook.com/tapprd/auth/identity/user/forgotpassword」というページの存在が明らかになったとのこと。URLにアクセスすると、以下のようにメールアドレスを入力する画面が表示されます。

「forgotpassword」ページの存在から、Abdulridha氏が「https://legal.tapprd.thefacebook.com/tapprd/auth/identity/user/」以下のページをツールで探索したところ、「https://legal.tapprd.thefacebook.com/tapprd/auth/identity/user/savepassword」というページを発見。Abdulridha氏は「savepassword」ページにアカウントのパスワードを変更できる脆弱性があると考え、セキュリティツール群のBurp Suiteを用いてページにパスワードを送信してみましたが、失敗してしまったとのこと。

そこでAbdulridha氏は管理者アカウントとランダムなメールアドレスのリストを取得し、トークンとともに「savepassword」ページに順番に送信したところ、あるアカウントのパスワードを変更することに成功。ログイン画面にメールアドレスと変更後のパスワードを入力すると、管理者画面にアクセスできてしまったそうです。

Abdulridha氏は脆弱性の重大さについて「Facebookの従業員は職場のアカウントで今回のページにログインしていたので、攻撃者が脆弱性を悪用すれば、Facebook従業員のアカウントにアクセスできる可能性がありました」と説明しています。

Abdulridha氏は脆弱性をFacebookに報告し、報奨金として7500ドル(約78万円)を受け取ったとのこと。なお、Abdulridha氏は今回の脆弱性の他にも同じページに関する脆弱性を発見しているそうで、近日中にその内容を公開する予定とされています。