นักวิจัยความปลอดภัย Reginaldo Silva ค้นพบบั๊กในโมดูล OpenID ของ Drupal เมื่อปี 2013 รายงานบั๊กในระบบ OpenID ของ facebook ทำให้ผู้ใช้สามารถรันคำสั่งใดๆ ก็ได้บนเซิร์ฟเวอร์ของ facebook จากระดับความร้ายแรงของบั๊กทำให้เขาได้รับเงินรางวัลถึง 33,500 ดอลลาร์ หรือประมาณหนึ่งล้านบาท
ทีมวิศวกรของ facebook แก้ปัญหานี้ภายในเวลาไม่กี่ชั่วโมงหลังได้รับรายงาน
เมื่อวันที่ 19 พฤศจิกายนที่ผ่านมา นักวิจัยรายงานบั๊กไปยัง facebook ครั้งแรกและเกือบสองชั่วโมงต่อมา facebook ก็ติดต่อกลับมาซึ่งทางนักวิจัยได้ส่งตัวอย่างการโจมตีไปให้ภายใน 10 นาที ทีมงานแก้ปัญหาภายใน 2 ชั่วโมงและตอบมาว่ากำลังนำขึ้นระบบจริงภายในครึ่งชั่วโมง
จากรายงานกล่าวว่า ทาง Facebook ได้มีการพิจารณาเงินรางวัลใช้เวลากว่าหนึ่งเดือน ในการพิจารณาความร้ายแรงของปัญหานั้น และตัดสินใจจัดเป็นบั๊กที่มีโอกาสจะเป็นบั๊ก remote code execution (RCE) โดยไม่ยอมรับว่าเป็นบั๊ก RCE ตรงๆ
ที่มา : thehackernews
Leave a comment!
You must be logged in to post a comment.