Seorang peneliti keamanan telah menemukan kerentanan kritis di Facebook yang dapat memungkinkan penyerang untuk menghapus video dari situs jejaring sosial yang diposting oleh siapapun di Facebook wall.
Cacat tersebut telah ditemukan oleh peneliti keamanan Dan Melamed pada Juni 2016, Cacat tersebut memungkinkan ia untuk menghapus video apapun dari jarak jauh di Facebook tanpa harus mendapatkan ijin siapapun atau otentikasi serta dapat mematikan fitur komentar pada video sekalipun.
Penyerang mengeksploitasi kerentanan dengan memposting public event di halaman Facebook dan meng-upload video di bagian Diskusi acara. Ketika mengupload video, peneliti merusak permintaan POST menggunakan Fiddler dan kemudian mengganti nilai Video ID videonya dengan nilai ID Video dari video lainnya pada platform media sosial.
Meskipun Facebook menanggapi masalah ini dengan kesalahan server, yaitu "This content is no longer available," tapi video baru tersebut dapat diposting dan ditampilkan dengan baik. Setelah tugas tersebut terlaksana, Melamed kemudian menghapus event post yang ia posting di Facebook, begitu juga menghapus attached video yang terpasang.
Untuk mengetahui langkah demi langkah bagaimana proses itu terjadi, Anda bisa melihat proof-of-concept video tentang kerentanan dan cara kerjanya, Anda dapat menonton proof-of-concept video demo dibawah ini yang menunjukkan serangan yang ditujukan kepada Facebook.
Melamed bertanggung jawab melaporkan kerentanan terhadap tim keamanan Facebook, yang kemudian ditindak lanjuti dengan menambal kerentanan pada awal tahun ini. Tak lama setelah menambal cacat tersebut, media raksasa sosial tersebut memberikan hadiah sebesar $ 10,000 atas penemuan kerentanan itu.
Ini bukan pertama kalinya ketika kerentanan tersebut diungkapkan dalam Facebook yang bisa memungkinkan penyerang untuk menghapus video apapun dari Facebook. Pemburu bug bounty terus mencari dan melaporkan bug tersebut untuk menjaga platform media sosial Facebook menjadi aman.
Cacat tersebut telah ditemukan oleh peneliti keamanan Dan Melamed pada Juni 2016, Cacat tersebut memungkinkan ia untuk menghapus video apapun dari jarak jauh di Facebook tanpa harus mendapatkan ijin siapapun atau otentikasi serta dapat mematikan fitur komentar pada video sekalipun.
Penyerang mengeksploitasi kerentanan dengan memposting public event di halaman Facebook dan meng-upload video di bagian Diskusi acara. Ketika mengupload video, peneliti merusak permintaan POST menggunakan Fiddler dan kemudian mengganti nilai Video ID videonya dengan nilai ID Video dari video lainnya pada platform media sosial.
Meskipun Facebook menanggapi masalah ini dengan kesalahan server, yaitu "This content is no longer available," tapi video baru tersebut dapat diposting dan ditampilkan dengan baik. Setelah tugas tersebut terlaksana, Melamed kemudian menghapus event post yang ia posting di Facebook, begitu juga menghapus attached video yang terpasang.
Untuk mengetahui langkah demi langkah bagaimana proses itu terjadi, Anda bisa melihat proof-of-concept video tentang kerentanan dan cara kerjanya, Anda dapat menonton proof-of-concept video demo dibawah ini yang menunjukkan serangan yang ditujukan kepada Facebook.
Melamed bertanggung jawab melaporkan kerentanan terhadap tim keamanan Facebook, yang kemudian ditindak lanjuti dengan menambal kerentanan pada awal tahun ini. Tak lama setelah menambal cacat tersebut, media raksasa sosial tersebut memberikan hadiah sebesar $ 10,000 atas penemuan kerentanan itu.
Ini bukan pertama kalinya ketika kerentanan tersebut diungkapkan dalam Facebook yang bisa memungkinkan penyerang untuk menghapus video apapun dari Facebook. Pemburu bug bounty terus mencari dan melaporkan bug tersebut untuk menjaga platform media sosial Facebook menjadi aman.
0 comments:
Post a Comment