Instagram попыталась запугать хакера, получившего доступ к личным данным пользователей

Хакер Уэсли Вайнберг (Wesley Weinberg) обнаружил критическую уязвимость в Instagram, позволявшую ему получить доступ к приватной информации как самой компании, так и пользователей её сервиса — в том числе фотографиям в закрытых профилях. Однако в процессе общения с отделом безопасности Facebook между компанией и хакером возникло недопонимание, в результате которого представители соцсети пытались запугать Вайнберга через его работодателя.

Интерфейс администраторской панели Sensu

Вайнберг опубликовал свой отчёт об исследовании безопасности Инстаграма 16 декабря. В нём говорилось, что ещё 21 октября он обнаружил критическую уязвимость в интерфейсе администраторской панели sensu.instagram.com, позволявшую производить удалённое исполнение кода (RCE).

В тот же день хакер уведомил о находке Facebook (владеет Instagram), спустя день он получил подтвержение от компании, что уязвимость будет исследована специалистами. Однако Вайнберг на этом не остановился, и через два дня обнаружил в администраторской панели ключ к «облачному» хостингу AWS.

Ключ безопасности давал хакеру доступ к хранилищам различных приватных данных — технической документации, другим кодам доступа и даже контенту пользователей, включая изображения, переписку и тому подобные данные. Помимо этого, Вайнберг обнаружил в базе данных sensu.instagram.com слишком слабые пароли к администраторским аккаунтам, о чём также уведомил Facebook.

Ответы по багрепортам хакер начал получать лишь с середины ноября. Сначала Facebook пообещала выплатить ему 2,5 тысячи долларов в качестве вознаграждения за первую находку, однако 1 декабря компания отклонила его отчёт о ненадёжных паролях администраторов, посчитав это нарушением приватности.

Тогда Вайнберг сообщил компании об уязвимости ключей AWS, дававших ему доступ к массиву приватных данных на «облачном» хостинге: он не скачивал оттуда фотографии или переписку пользователей, однако проверил работоспособность уязвимости, загрузив к себе некоторую техническую и корпоративную документацию. В тот же день глава отдела безопасности Facebook Алекс Стамос (Alex Stamos) позвонил его начальнику в исследовательской компании Synack с угрозами.

Стамос заявил, что найденная Вайнбергом уязвимость была примитивной, однако дала ему доступ к секретным данным. Глава отдела безопасности соцсети потребовал от гендиректора Synack заставить Вайнберга удалить скачанные данные и проконтролировать, чтобы информация об этом не была предана огласке. Представитель Facebook также намекнул, что в случае негативного развития ситуации он может обратиться за помощью к своим юристам.

По мнению Вайнберга, такое поведение Facebook полностью противоречило тому, что было описано в её правилах программы вознаграждения за найденные уязвимости. Несмотря на заголовок публикации «Баг Instagram на миллион долларов», хакер утверждал, что не рассчитывал на крупное вознаграждение и вообще не был мотивирован финансово.

Несмотря на все попытки следовать правилам Facebook, я оказался под угрозой административного и уголовного разбирательств, и всё это было повёрнуто против моего работодателя — на которого я работаю по контракту, а не как штатный сотрудник. Если бы моя компания была не такой понимающей в исследованиях безопасности, я бы мог легко потерять работу из-за этого. Я воспринимаю угрозу уголовного наказания серьёзно, и я уже получил подтверждение у своего юриста, что мои действия были законными и в рамках программы Facebook Whitehat.

Уэсли Вайнберг, хакер, специалист по безопасности Synack

18 декабря, спустя сутки после публикации расследования хакера, Стамос рассказал о своей точке зрения у себя на странице в Фейсбуке. По мнению представителя соцсети, Вайнберг поступил неэтично, так как после обнаружения первой уязвимости продолжил «рыскать» в поисках других.

Стамос также заявил, что не был против публикации своих исследований хакером и не запрещал этого в разговоре с гендиректором Synack. Он посчитал, что Вайнберг действовал от лица своей компании, так как тот якобы использовал свой корпоративный адрес в переписке, а также требовал более высокой награды, чем 2,5 тысячи долларов — сам хакер это опровергал. К моменту обеих публикаций все уязвимости были закрыты, а ключи безопасности изменили на новые.

Я твёрдо уверен, что исследователи безопасности должны иметь возможность свободно изучать уязвимости и сообщать о них для блага всего человечества, и я считаю, что следует финансово поощрять их тяжёлую работу. Я также знаю, что то хрупкое спокойствие, в котором мы сегодня живём, основано на том, что программа вознаграждений за обнаружение уязвимостей не может быть использована хакерами как прикрытие для злонамеренных действий.

Потворство превышению исследователями допустимых границ создаст прецедент, который может быть использован для нарушения приватности наших пользователей, и такое поведение добросовестных исследователей безопасности ставит будущее программ вознаграждения за уязвимости под угрозу.

Алекс Стамос, глава отдела безопасности Facebook

В комментариях другие специалисты по безопасности раскритиковали реакцию Facebook на обнаруженные Вайнбергом уязвимости. Некоторые подчеркнули, что официально политика компании не запрещала хакеру исследовать её системы после обнаружения RCE, и проиллюстрировали важность его действий гипотетическим обследованием систем безопасности Белого дома.

В понимании Facebook, хакер не просто смог открыть входную дверь, а дошёл до Овального кабинета и «станцевал там на столе», отметили участники обсуждения. Однако есть разница между тем, чтобы просто отпереть замок, и воспользоваться этим для проникновения внутрь, получения доступа к секретным правительственным данным и, в итоге, танца на столе в кабинете президента.