Facebook выплатил 25 тысяч долларов по программе bug bounty

Исследователь безопасности получил вознаграждение в размере 25 000 долларов за описание ошибки после обнаружения уязвимости DOM-based cross-site scripting (XSS) в Facebook.

Пользователь, который пытается авторизоваться в системе, может стать жертвой преступника, использующего критическую уязвимость страницы перенаправления платежей Facebook. Данная последовательность может привести к открытию новой вкладки или всплывающего окна, содержащего вредоносный загрузчик, который затем эксфильтрирует сторонний access_token-и передаст злоумышленнику контроль над учетной записью.

Эксперт, обнаруживший данную уязвимость, создал эксплойт во время конкурса BountyCon2020 (мероприятие по поиску ошибок, организованное Facebook и Google). Уязвимость была обнаружена 10 октября, во второй и последний день BountyCon2020.

Facebook выпустила исправление 28 октября после удаления postMessage из платёжных перенаправлений и настройки appTabUrl. Исследователь получил от Facebook гонорар в объеме 25 тысяч долларов США в рамках программы вознаграждения за поиск уязвимостей (bug bounty).