Tajwański hacker przejął jeden z serwerów Facebooka i… znalazł tam backdoora

Ciekawy i pełen technicznych smaczków wpis na tajwańskim blogu – dotyczący ataku na domenę: files.fb.com

Autorowi udało się znaleźć w sumie 7 podatności, w tym 2 x zdalne wykonanie kodu – w tym jedno przez nieuwierzytelniony SQL injection:

Shell PHP

Analizując dalej system (w celu zgłoszenia całości do programu bug bounty), Tajwańczyk zlokalizował… już wcześniej zainstalowanego na serwerze backdoora:

Co więcej, po analizie logów okazało się że ten backdoor był używany do wykradania danych (loginów i haseł pracowników Facebooka – około 300 sztuk):

A brief summary, the hacker created a proxy on the credential page to log the credentials of Facebook employees. (…) And at the time I discovered these, there were around 300 logged credentials.

Atakujący zostawił dane w logach, które wskazały ataki na dalszą infrastrukturę Facebooka, czy próbę odczytania klucza prywatnego SSL – jak się okazało certyfikat zainstalowany na serwerze był wystawiony na wildcard: *.fb.com

…pełen opis historii na cytowanym blogu.

–Michał Sajdak