Pada Oktober 2024, penyelidik keselamatan Ben Sadeghipour sedang menganalisis platform iklan Facebook ketika beliau menemui kelemahan keselamatan yang membolehkannya menjalankan arahan pada pelayan dalaman Facebook yang memuatkan platform tersebut, dengan kata lain memberikannya kawalan ke atas pelayan tersebut.
Selepas beliau melaporkan kelemahan tersebut kepada Meta, pemilik Facebook, yang dikatakan oleh Sadeghipour hanya mengambil masa satu jam untuk memperbaikinya, raksasa rangkaian sosial tersebut memberikan ganjaran $100,000 kepada beliau sebagai pembayaran ganjaran bug.
“Anggapan saya adalah bahawa ini adalah sesuatu yang anda mungkin ingin perbaiki kerana ia secara langsung di dalam infrastruktur anda,” tulis Sadeghipour dalam laporan yang beliau hantar kepada Meta, katanya kepada TechCrunch. Meta memberi respons kepada laporannya, memberitahu Sadeghipour untuk “menahan diri daripada menguji lebih lanjut” sementara mereka memperbaiki kelemahan tersebut.
Menurut Sadeghipour, masalahnya adalah salah satu pelayan yang digunakan Facebook untuk mencipta dan menghantar iklan adalah rentan terhadap kelemahan yang sebelum ini sudah dipulihkan yang ditemui dalam pelayar Chrome, yang digunakan Facebook dalam sistem iklannya. Sadeghipour mengatakan bug yang belum diperbaiki ini membolehkannya mengambil alihnya dengan menggunakan pelayar Chrome tanpa muka (pada dasarnya versi pelayar yang pengguna jalankan dari terminal komputer) untuk berinteraksi secara langsung dengan pelayan dalaman Facebook.
Sadeghipour, yang menemui kelemahan Facebook bekerjasama dengan penyelidik bebas Alex Chapman, memberitahu TechCrunch bahawa platform pengiklanan dalam talian menjadi sasaran yang menarik kerana, “terdapat begitu banyak perkara yang berlaku di belakang menyiapkan 'iklan' ini - sama ada video, teks, atau imej.”
“Tetapi pada intinya, ini adalah sejumlah data yang diproses di bahagian pelayan dan ia membuka peluang untuk banyak kelemahan,” kata Sadeghipour.
Penyelidik tersebut mengatakan beliau tidak menguji segala-galanya yang boleh dilakukannya setelah masuk ke dalam pelayan Facebook, tetapi “apa yang menjadikannya berbahaya adalah ini mungkin merupakan sebahagian daripada infrastruktur dalaman.”
“Memandangkan kita mempunyai pelaksanaan kod, kita boleh berinteraksi dengan mana-mana laman dalam infrastruktur itu,” kata Sadeghipour. “Dengan kelemahan pelaksanaan kod yang jauh, anda boleh mengecualikan beberapa batasan ini dan juga dengan langsung menarik benda dari pelayan tersebut dan mesin lain yang boleh diaksesnya.”
Juru bicara Meta Nicole Catalano mengakui penerimaan permintaan komen TechCrunch, tetapi tidak mengomentari pada masa surat kabar diterbitkan.
Sadeghipour juga mengatakan platform iklan serupa yang dijalankan oleh syarikat lain, dan yang sedang beliau analisis, rentan terhadap kelemahan serupa.
