Ekim 2024’te güvenlik araştırmacısı Ben Sadeghipour Facebook’un reklam platformunu analiz ederken, bu platformu barındıran dahili Facebook sunucusunda komutlar çalıştırmasına olanak tanıyan ve aslında sunucunun kontrolünü kendisine veren bir güvenlik açığı buldu.
Sadeghipour, zafiyeti Facebook’un sahibi Meta’ya bildirdikten sonra, Sadeghipour bunu düzeltmenin sadece bir saat sürdüğünü söyledi ve sosyal ağ devi ona bir hata ödülü olarak 100.000 dolar ödül verdi.
Sadeghipour, TechCrunch’a Meta’ya gönderdiği raporda “Benim varsayımım, bunun doğrudan altyapınızın içinde olması nedeniyle düzeltmek isteyebileceğiniz bir şey olduğu yönünde” diye yazdı. Meta, Sadeghipour’a güvenlik açığını düzeltirken “daha fazla test yapmaktan kaçınmasını” söyleyerek raporuna yanıt verdi.
Sadeghipour’a göre sorun, Facebook’un reklam oluşturmak ve sunmak için kullandığı sunuculardan birinin, Facebook’un reklam sisteminde kullandığı Chrome tarayıcısında bulunan ve daha önce düzeltilen bir kusura karşı savunmasız olmasıydı. Sadeghipour, bu yamalı hatanın, Facebook’un dahili sunucularıyla doğrudan etkileşim kurmak için başsız bir Chrome tarayıcısı (esasen kullanıcıların bilgisayarın terminalinden çalıştırdığı tarayıcının bir sürümü) kullanarak onu ele geçirmesine izin verdiğini söyledi.
Bağımsız araştırmacı Alex Chapman ile birlikte çalışarak Facebook’un güvenlik açığını bulan Sadeghipour, TechCrunch’a çevrimiçi reklam platformlarının ilgi çekici hedefler haline geldiğini söyledi çünkü “bu ‘reklamları’ yapmanın arka planında, ister video, ister metin, ister görsel olsun, çok fazla şey oluyor” .”
Sadeghipour, “Fakat her şeyin özünde, sunucu tarafında işlenen bir grup veri var ve bu, bir sürü güvenlik açığına kapı açıyor” dedi.
Araştırmacı, Facebook sunucusunda yapabileceği her şeyi test etmediğini ancak “bunu tehlikeli kılan şeyin muhtemelen dahili bir altyapının parçası olması” olduğunu söyledi.
Sadeghipour, “Kod yürütmeye sahip olduğumuz için, bu altyapıdaki sitelerden herhangi biriyle etkileşime girebilirdik” dedi. “Biriyle [remote code execution vulnerability]bu sınırlamalardan bazılarını atlayabilir ve ayrıca doğrudan sunucunun kendisinden ve erişimi olan diğer makinelerden öğeler çekebilirsiniz.”
Meta sözcüsü Nicole Catalano, TechCrunch’ın yorum talebini aldığını kabul etti ancak basın zamanında yorum yapmadı.
Sadeghipour ayrıca diğer şirketlerin çalıştırdığı ve analiz ettiği benzer reklam platformlarının da benzer güvenlik açıklarına karşı savunmasız olduğunu söyledi.
