Bug Hunter ini Dapatkan Reward $15000 setelah Temukan Bug Kritikal di Facebook Messenger. Masih ingat dengan Sarmad Hassan yang pernah menemukan bug sepele di Facebook?. Kali ini bug hunter tersebut kembali membagikan pengalamannya lewat Medium tentang bagaimana ia menemukan celah di Facebook Messenger.
Bug tersebut ia temukan pada tanggal 22 Januari 2019 lalu saat tiba-tiba ia kepikiran untuk mencoba hunting bug di portal.facebook.com. Dia sendiri menjelaskan bahwa sebelumnya pernah mencari bug di Facebook Portal namun tidak menemukan apapun. Namun pada tanggal 22 Januari tersebut dia menemukan fitur baru yang tidak ada sebelumnya, yakni Support Bot Chat pada Account Setting.
Selanjutnya bermodalkan Burp Suite ia mulai memainkan fitur upload disana yangmana kemudia dia menyadari saat parameter image_ids dari gambar atau file yang diunggah diganti dengan nilai lain (dengan bantuan intercept Burp Suite tentunya), ia bisa melihat gambar ataupun file yang diunggah oleh pengguna lain.
Bug seperti ini tentu masuk kategori kritikal karena menyangkut masalah privasi. Bisa dibayangkan jika bug ini ditemukan oleh hacker jahat yang kemudian ia membuat tool untuk melakukan brute force image id’s. Pasti ada kemungkinan audio ataupun image bersifat rahasia yang bocor.
Sarmad Hassan sendiri telah melaporkan bug tersebut ke Facebook Security Team, dan temuannya dihargai sebesar $15000.
Timeline
Berikut timeline dari bug ditemukan hingga reward diberikan.
- Jan. 22, 2019 — Initial Report
- Feb. 04, 2019 — Report Triaged
- Feb. 13, 2019 — Bug Fixed
- Feb. 13, 2019 — Fixed confirmed
- Feb. 13, 2019– 15k bounty awarded
Untuk PoC videonya juga bisa kalian lihat disini:
Facebook sendiri sudah sering kali membayar para bug hunter yang menemukan bug di platform mereka. Jadi buat kalian yang tertarik dengan dunia internet security, tidak ada salahnya mencoba peruntungan dengan berburu bug di Facebook. (yuyudhn/linuxsec)
Suprot bot id2046128980