پاداش ۱۵٫۰۰۰ دلاری فیسبوک به یابنده باگ موجود در سیستم ریست رمز عبور

اخیرا یکی از باگ‌های اساسی و خطرناک فیسبوک توسط یکی از محققان امنیتی کشف شده که در مقابل تلاش‌های خود پاداش ۱۵ هزار دلاری را از فیسبوک دریافت کرد. این محقق هندی که Anand Prakash نام دارد، باگ موجود در سیستم ریست رمز عبور فیسبوک را کشف کرده که به واسطه‌ی آن می‌توان به اکانت هر کاربر فیسبوک دسترسی داشت. ساز و کار باگ مذکور در زمانی است که کد ۶ رقمی به گوشی کاربر مورد نظر ارسال می‌شود تا از آن به عنوان پسورد موقت برای لاگین به حساب کاربری استفاده شود.

معمولا پس از ۱۰ الی ۱۲ بار وارد کردن رمز غلط در حساب فیسبوک، اکانت لاک شده و صفحه‌ی ریست رمز عبور باز می‌شود. اما پراکاش متوجه شده که این سخت‌گیری‌های امنیتی که در خود سایت فیسبوک نهاده شده، در سایت‌های بتای این شبکه‌ی اجتماعی وجود ندارند. این سایت‌های بتا برای توسعه دهندگان که مایل هستند، قابلیت‌های جدید شبکه‌ی اجتماعی را تجربه کنند در دسترس است که البته تمامی حساب‌های کاربران فیسبوک را به واسطه‌ی آن نیز می‌توان مشاهده کرد. باگ موجود به پراکاش این امکان را محیا کرد که با حدس زدن پین‌های ارسالی به کاربران (روش بروت‌فورس)، اکانت‌ها را هک کند.

پراکاش به جای اکسپلویت این باگ، آن را در صفحه‌ی مخصوص گزارش آسیب پذیری‌ها به فیسبوک اطلاع داد. همان روز، فیسبوک اعلام کرد که این باگ چند روز پیش زمانی که تغییراتی را در سایت‌های بتای این شبکه‌ی اجتماعی اعمال کرده‌اند، به وجود آمده است. علاوه بر این، فیسبوک اطلاع داد که تا به حال هیچ سوءاستفاده‌ای از این باگ انجام نشده و از این‌رو پراکاش می‌تواند پاداش ۱۵ هزار دلاری را دریافت کند. 

اگرچه باگ مذکور جزو رخنه‌های امنیتی با ریسک بسیار بالا به شمار نمی‌آید، اما نتیجه‌ای که با سوءاستفاده‌ از آن به دست می‌آید بسیار خطرناک و حتی جبران ناپذیر است. یکی از جنبه‌های مثبت برنامه‌ی پاداش یافتن باگ این است که محققان امنیتی شوق یافتن باگ‌ها و رخنه‌های امنیتی را به دست می‌آورند. 

فیسبوک در گزارشی به وب‌سایت وِرج اعلام کرد:

ما از اینکه چنین باگ مهمی کشف شده و پاداشی را به محقق امنیتی که آن را یافته، پرداختیم بسیار خرسند هستیم. 

از زمان اجرای برنامه‌ی «پاداش در ازای یافتن باگ» فیسبوک، این شبکه‌ی اجتماعی بیش از چهار میلیون دلار به هکرها و محققان امنیتی پرداخته است.