Instagram. Server violati. Facebook minaccia l’hacker

Violare, hackerare il server di Instagram. Un sogno per molti pirati informatici e anche per molti bug bounty, ricercatori di vulnerabilità che grazie alla segnalazione fatta all’azienda, in questo caso Facebook, ricevono un compenso. Ma stavolta non sembrerebbe andata bene allo specialista in sicurezza informatica Wesley Wineberg,  che sarebbe stato minacciato dal social network per la sua scoperta e per aver avuto accessi non autorizzati ai sistemi.

Instragram. Server violati e dati scoperti

Wesley Wineberg, Senior Security Research Engineer presso la Synack, Inc.
Wesley Wineberg, Senior Security Research Engineer presso la Synack, Inc.

Wesley Wineberg, un ricercatore di sicurezza di SYNACK, ha partecipato al programma bug bounty di Facebook e ha iniziato l’analisi dei sistemi Instagram dopo che uno dei suoi amici gli aveva accennato a un server potenzialmente vulnerabile situato su sensu.instagram.com. Il ricercatore ha scoperto un bug  RCE (Remote Code Execution) che si nascondeva nel modo in cui vengono processati i cookies di sessione degli utenti  che vengono generalmente utilizzati per ricordare dettagli di login e preferenze degli utenti stessi.

L’esecuzione del codice da remoto è possibile grazie a due punti deboli:

  1. L’applicazione web Sensu-Admin in esecuzione sul server conteneva un token segreto di Ruby
  2. L’host che esegue una versione di Ruby (3.x), era vulnerabile ad una esecuzione di codice attraverso il cookie di sessione dello stesso Ruby

Sfruttando la vulnerabilità, Wineberg è stato in grado di forzare il server a scaricare il database contenente i dati d’accesso, tra cui credenziali di Instagram e dipendenti di Facebook. Anche se le password erano cifrate con ‘bcrypt’, Wineberg è stato in grado di decodificarne una dozzina sfruttando parecchi punti deboli in pochi minuti.

L’esperto è così riuscito ad ottenere l’accesso ai dati sensibili memorizzati sui server di Instagram, tra cui:

  • Codice sorgente del sito di Instagram
  • Certificati SSL e chiavi private per Instagram
  • Chiavi utilizzate per firmare i cookie di autenticazione
  • Dati personali degli utenti Instagram e di alcuni dipendenti
  • Le credenziali del server e-mail
  • Chiavi per più di una mezza dozzina di altre funzioni critiche

Instagram. Cosa era nascosto nei server violati?

Wineberg non si è fermato qui. Ha potuto vedere da vicino altri file di configurazione che ha trovato sul server e ha scoperto che uno dei file conteneva alcune chiavi per accedere ad account di Amazon Web Services, il servizio di cloud computing utilizzato per ospitare l’installazione Sensu di Instagram.

Wineberg aveva inavvertitamente aperto un varco su quasi tutto, tra cui:
  • Il codice sorgente di Instagram
  • Certificati SSL e chiavi private (anche per instagram.com e * .instagram.com)
  • API che vengono utilizzate per interagire con altri servizi
  • Le immagini caricate dagli utenti Instagram
  • Contenuto statico dal sito instagram.com
  • Le credenziali del server e-mail
  • iOS / Android app con le chiavi di cifratura
  • Altri dati sensibili

[blockquote style=”1″]”Dire che avevo ottenuto l’accesso a praticamente tutti i materiali segreti di Instagram sarebbe stata probabilmente una dichiarazione giusta” ha scritto Wineberg nel suo blog. “Con le chiavi che ho ottenuto, potevo facilmente impersonare Instagram, o qualsiasi utente valido o un addetto del personale. Mentre fuori del campo di applicazione, avrei potuto ottenere l’accesso completo all’account di qualsiasi utente, foto e dati personali []. “[/blockquote]

La falla rivelata, ma Facebook (avrebbe) minacciato querela

Alex Stamos, il capo della sicurezza di Facebook
Alex Stamos, il capo della sicurezza di Facebook

Wineberg ha riferito le sue scoperte al team di sicurezza di Facebook, ma il gigante dei social media era preoccupato del fatto che il ricercatore avesse accesso ai dati privati ​​dei propri utenti e dipendenti. Invece di ricevere un premio da Facebook per il suo lavoro, Wineberg sarebbe stato escluso dal programma bug bounty di Facebook.

Ai primi di dicembre, Wineberg ha inoltre aggiunto che Jay Kaplan, il CEO della sua azienda, la SYNACK,  avrebbe ricevuto una telefonata dal capo della sicurezza di Facebook Alex Stamos per quanto riguardava le azioni effettuate da Weinberg. Stamos si sarebbe lamentato del fatto che il ricercatore aveva scoperto e lasciato Instagram  e Facebook vulnerabili ad un attacco devastante.

Il numero uno della sicurezza del portale in blu avrebbe dichiarato “che non voleva coinvolgere il team legale di Facebook , ma si chiedeva se questa storia non andasse riferita alle forze dell’ordine”, ha scritto Wineberg nel suo blog in un post intitolato «minacce e intimidazioni . ‘

Instagram, server violati. La risposta di Facebook

Dopo la pubblicazione dell’articolo da parte del ricercatore, Facebook ha rilasciato la sua risposta. Il gigante dei social media ha confermato l’esistenza del bug nel dominio sensu.instagram.com e ha promesso una ricompensa di $ 2.500  per Wineberg e il suo amico che ha inizialmente fatto le prime scoperte sul server.

Tuttavia, le altre vulnerabilità che hanno permesso a Wineberg di ottenere l’accesso a dati sensibili non erano segnalate, e Facebook ha ritenuto questo come una violazione della privacy degli utenti durante l’accesso ai dati. Nonostante ciò, Facebook spiega che le affermazioni su una loro presunta intimidazione sono false e che a Wineberg non è mai stato detto di non pubblicare le sue ricerche, piuttosto gli è stato chiesto di non divulgare le informazioni non di dominio pubblico.

Lo stesso Alex Stamos ha rilasciato una dichiarazione, dicendo di«non aver minacciato azioni legali contro SYNACK o [Weinberg] né di aver mai chiesto che  Wineberg venisse licenziato.” Stamos ha riferito di aver solo detto a Kaplan di “voler tenere fuori gli avvocati di entrambe le parti fuori da questa storia.”

Instragram, server violati e minacce. La dichiarazione completa di Facebook:

Siamo forti sostenitori della ricerca riguardo la sicurezza e si sono costruite relazioni positive con migliaia di persone attraverso il nostro programma bug bounty. Questi rapporti devono includere fiducia, però, e questo include la notifica dei dettagli di bug che vengono eventualmente trovati e non devono essere utilizzati per accedere alle informazioni private in modo non autorizzato. In questo caso, il ricercatore ha volutamente trattenuto informazioni importanti sul bug e non le ha riferite al nostro team andano ben oltre le linee guida del nostro programma per trovare dati privati dai sistemi interni.

Abbiamo pagato per la sua prima segnalazione di bug, anche se non è stato il primo a segnalarlo, ma non abbiamo pagato per le informazioni successive che aveva omesso. In nessun momento abbiamo detto che non poteva pubblicare le sue scoperte – abbiamo chiesto di astenersi dal divulgare le informazioni non pubbliche per accedere in violazione alle nostre linee guida del programma. Rimaniamo fermamente impegnati a pagare per la ricerca di alta qualità e aiutare la comunità del duro lavoro dei ricercatori.