Facebookの社内サーバーにバックドアが仕掛けられていたと、台湾のセキュリティコンサルティングチームDEVCOREが伝えています。と言っても我々がアクセスするFacebookのサービス用サーバーではなく、社内用のサーバーの話です。 オレンジ・ツァイは、Facebookの社内ネットワークをスキャンしている最中、ファイルサーバーのひとつで稼働していたAccellionのセキュアファイル転送システムに脆弱性があることを知りました。そして、そのシステムにクロスサイトスクリプティングに関する脆弱性を3つ、リモートコード実行の脆弱性、ローカルの特権エスカレーション脆弱性を2つずつ発見し、それらの脆弱性を使ってFacebookの社内サーバーにアクセスできることを確認しました。

ツァイは、バグレポートを作成するためにそのサーバーのアクセスログを確認したところ、そこにバックドアと見られれるphpベースのスクリプトが設置してあるのに気づきました。これは一般的に php web shell と呼ばれるもので、悪質なものだと外部から自由にサーバーを操れる可能性もあります。

そしてすぐにFacebookのセキュリティチームにそのことを報告、より詳細な問題確認を実行し、そのバックドアを使えば従業員のメールへのアクセスや、社内向けのVPNへのアクセスも可能だったことを突き止めました。

ツァイはすぐにFacebookのセキュリティチームに報告し、バックドアを除去しすべての脆弱性を取り除くことを任せられました。そして、Facebookのポリシーにもとづき、脆弱性を発見した功績として1万ドルの報奨金を受け取ったとのこと。現在はすべての問題が取り除かれています。

ツァイはセキュリティコンサルタントとして Facebook 社内のシステムにアクセスして脆弱性をみつけましたが、Facebookは一般ユーザーがアクセスする自社のシステム()に対しても、セキュリティ脆弱性を発見した人に対し報奨金を出す方針をとっています。この3月にはFacebookのベータテストサーバーであらゆるユーザーアカウントを乗っ取れる脆弱性が発見され、発見者は1万5000ドルの報奨金を得ていました。

[Image : AP Photo/Jeff Chiu]