Facebookに誰もが誰のビデオでも消せるバグがあった(今はもうない)

次の記事

「独立後も正社員と同等の社会保障を」――エンジニアの独立支援サービス「Midworks」が正式リリース

いやぁ、バグ発見賞金(Bug Bounties)って役に立つもんだね!

以前、Facebook上のあなたの写真を誰でも消せる、というバグがあったけど、今度は、似たようなバグがビデオでも見つかった。

セキュリティの研究家Dan Melamedが見つけた、今では直っているそのバグは、イベントに添付されるビデオにあった。Melamedは、その発見で1万ドルの賞金をもらった。

そのバグの症状はこうだった:

  1. その悪いやつはFacebookのイベントを作る
  2. そいつはそのイベントのページへ行ってビデオをアップロードする
  3. ビデオのアップロードが終わったらFiddlerのようなブラウザーツールを使ってリクエストを書き換え、ビデオのIDを今アップロードしたばかりのビデオと、ハイジャックして消したいビデオの、IDを入れ替える。そしてそのリクエストを送る。
  4. 書き換えたリクエストを送ったら、イベントに対する“Delete Post”ボタンを押す。すると、そいつがポストしたイベントと、元のビデオの両方が消える。

比較的単純なバグだけど、Facebookのコードベースは複雑巨大だから、長年放置された可能性もあるし、バグ発見賞金制度があったからこそ、被害の拡大を未然に防げた、と言える。なにしろ、Kate Congerのこの記事によると、今では国防総省ですら、バグ発見賞金制度を設けている。

このバグではビデオのコメントも不能にできるので、被害者は、なんで急にみんな黙ってしまったのか?と怪訝に思うだろう。

でもこのバグはすでに直っているから、あわてる必要はない。Melamedがバグを報告したのは2016年の6月29日で、賞金1万ドルはそれから数週間後にもらえたそうだ。Facebookは、このバグが7月に直されたことを確認した。

[出典: Gizmodo]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))