(Bild: dpa, Karl-Josef Hildenbrand/Symbol)
Über Schwachstellen in der Admin-Oberfläche von Instagram stößt ein Kryptologe unter anderem auf Fotos von Nutzern und SSL-Zertifikate inklusive privater Schlüssel. Facebook prangert die Vorgehensweise des Sicherheitsforschers an.
Die Admin-Oberfläche von Instagram war verwundbar und erlaubte so den Zugriff auf Interna von Instagram und Facebook, dem Entwickler des Online-Dienstes. Bei seinen Untersuchungen findet der Sicherheitsforscher Wesley Weinberg von Synack eine Lücke, über die er Code aus der Ferne ausführen konnte. Dabei stieß er eigenen Angaben zufolge unter anderem auf Fotos von Nutzern, SSL-Zertifikate inklusive privater Schlüssel und den Source Code von Instagram.
Während seiner Prüfung fand Weinberg heraus, dass die Sensu-Admin-Oberfläche einen hartkodierten Schlüssel aufweist und die zum Einsatz kommende Ruby-3.x-Version für eine Remotecodeausführung anfällig ist. Um erfolgreich auf die Oberfläche zugreifen zu können, baute er eigenen Angaben zufolge einen vertrauenswürdigen Session Cookie. Nachdem der Server diesen abnickte, konnte er Code ausführen und Nutzerdaten auslesen. Mittlerweile ist der Zugang auf diesem Weg nicht mehr möglich, erläuterte Weinberg.
Einblicke in Instagram-Interna
Während des Übergriffs konnte Weinberg verschiedene Datenbanken einsehen. Dort fand er unter anderem Log-in-Daten von Facebook- und Instagram-Angestellten. Weinberg gibt an, mit dem Tool bcrypt rund ein Dutzend schwache Passwörter geknackt zu haben.
Ein Sicherheitsforscher erlangte über Lücken im Admin-Panel Zugriff auf Interna von Facebook und Instagram. Nun werden unberechtigte Zugriffe geblockt.
Bild: Wesley Weinberg
Er hatte eigenen Angaben zufolge auch Zugriff auf Amazons S3 Cloud-Speicher, den Instagram in Anspruch nimmt. Dort fand er weitere Interna vor. Etwa den Source Code von Instagram, Schlüssel zum Signieren von Android- und iOS-Apps und SSL-Zertifikate inklusive privater Schlüssel.
Mit diesen Informationen könne man Weinberg zufolge etwa bösartige Webseiten aufsetzen, denen Webbrowser vertrauen. Das könnten Angreifer für Man-in-the-Middle-Attacken ausnutzen. Zudem sei es vorstellbar, mit einfachen Mitteln auf alle Nutzer-Accounts zuzugreifen.
Sicherheitschef von Facebook schaltete sich ein
Weinberg gibt an, Facebook Ende Oktober dieses Jahres kontaktiert zu haben. Das Unternehmen bedankte sich für die Meldung der Schwachstellen, teilte Weinberg mit. Er habe sich aber aufgrund des Zugriffes auf die Interna für die Teilnahme am Boug-Bounty-Programm disqualifiziert. Den Gesprächsverlauf hat Weinstein in einem Blogeintrag veröffentlicht.
Anfang Dezember trat dann der Sicherheitschef von Facebook Alex Stamos mit Weinbergs Arbeitgeber Synack in Kontakt, erläuterte der Sicherheitsforscher. Stamos soll Weinbergs Chef ausgehorcht und gebeten haben, dass Weinberg alles, was mit dem Fall zu tun hat, löscht und nichts davon veröffentlicht. Stamos soll dabei auch erwähnt haben, dass er die Rechtsabteilung von Facebook nur ungern einschalten würde.
Weinberg geht mit dem Verhalten von Facebook nicht konform. Er sieht sich als Entdecker der Lücken und ist sich keiner Schuld bewusst. Aufgrund der Reaktionen von Facebook hat er sich dafür entschieden, über die Lücken zu berichten.
Stamos wirft Weinberg in einem Blogeintrag wiederum vor, unnötig tief in die Infrastruktur eingedrungen zu sein.
[UPDATE, 21.12.2015 14:45]
Ergänzenden letzten Absatz hinzugefügt. (des)