Το Facebook αντάμειψε τον Βραζιλιάνο μηχανικός ηλεκτρονικών υπολογιστών και ερευνητής ασφαλείας Κον Reginaldo Silva με 33.500 δολάρια (€ 25.000) για την εύρεση και την υποβολή έκθεσης για μια ευπάθεια σε απομακρυσμένη εκτέλεση κώδικα. Αυτές οι τρύπες ασφαλείας δεν είναι εύκολο να βρεθούν στις μέρες μας, και έτσι αυτό ήταν και το μεγαλύτερο ποσό χρημάτων που δίνονται από το Facebook σε έναν ερευνητή ασφάλειας μέχρι στιγμής.
Σύμφωνα με τον ερευνητή, όλα ξεκίνησαν τον Σεπτέμβριο του 2012, όταν βρήκε ένα XML External Entity Expansion (XXE) σφάλμα στο συστατικό Drupal που χειρίζεται το OpenID. Το OpenID χρησιμοποιόταν από πολλά services (υπηρεσίες), και έτσι ο Silva άρχισε να εκτελεί δοκιμές για να διαπιστώσει ποια υπηρεσία είχε επηρεαστεί.
Αρχικά, σκέφτηκε ότι το Facebook δεν μπορεί να ήταν ευάλωτο, ώσπου τον Νοέμβριο του 2013, όταν έλεγχε την υπηρεσία “Forgot your password” (Ξεχάσατε τον κωδικό σας) βρήκε ότι η ευπάθεια XXe επηρρέαζε για πάνω από ένα χρόνο το αρχείο facebook.com/OpenID/receiver.php.
Αμέσως ανάφερε τα συμπεράσματά του στο Facebook , το οποίο επισκεύασε την ευπάθεια τέσσερες ώρες μετά αφού ο Silva υπέβαλε την πρώτη του έκθεση.
Οι τρύπες ασφαλείας XXe είναι σοβαρές, επειδή μπορούν να αξιοποιηθούν για να διαβάσει κάποιος ευαίσθητα αρχεία μετά από ζήτηση προς τον web server. Ωστόσο, ο Silva υποψιαζόταν ότι θα μπορούσε να πάρει ακόμη περισσότερα από το ελάττωμα στην εκτέλεση του απομακρυσμένου κώδικα. Δεδομένου ότι το Facebook έχει ήδη διορθώσει το λάθος, δεν θα μπορούσε να δοκιμάσει τη θεωρία του. Ωστόσο, έγραψε στην ομάδα ασφαλείας του Facebook εξηγώντας τους πώς θα κλιμακωνόταν το σφάλμα σε μια απομακρυσμένη εκτέλεση της ευπάθειας του κώδικα.
Μετά την αναλυτικότερη έκθεσή του, το Facevook είδε ότι η θεωρία ήταν σωστή και ότι υπήρχε όντως θέμα στην εκτέλεση του απομακρυσμένου κώδικα . Αυτός είναι ο λόγος για τον οποίο Silva βραβεύτηκε με 33.500 δολάρια (€ 25.000) για το έργο του.
“Όπως πάντα, θέλουμε οι πληρωμές μας να ανταμείβουν τη σκληρή δουλειά των ερευνητών που είναι διατεθειμένοι να κάνουν το σωστό και να αναφέρουν σφάλματα” εξήγησε σχετικά το Facebook .
