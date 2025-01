Un ricercatore di sicurezza ha scoperto una grave vulnerabilità che consentiva di eseguire comandi sul server di Facebook che ospita la piattaforma di advertising. Dopo aver segnalato il problema, Ben Sadeghipour ha ricevuto un premio di 100.000 dollari dall’azienda di Menlo Park.

Bug presente in Google Chrome

La vulnerabilità è stata scoperta ad ottobre 2024 in uno dei server usati da Meta per creare e distribuire le inserzioni pubblicitarie su Facebook. Il problema era presente in Google Chrome che l’azienda di Menlo Park usa per la piattaforma di advertising. Il bug poteva essere sfruttato per interagire direttamente con i server interni del social network con una versione del browser eseguita tramite terminale.

L’esperto di sicurezza non ha proseguito nella su ricerca perché Meta gli ha chiesto di non effettuare altri test. Le piattaforme di advertising sono obiettivi molto appetibili per i cybercriminali in quanto nascondono interessanti informazioni sulla creazione e distribuzione degli annunci pubblicitari.

La vulnerabilità era piuttosto grave perché dopo l’esecuzione del codice si poteva interagire con uno qualsiasi dei siti all’interno dell’infrastruttura di Facebook. Sfruttando una vulnerabilità RCE (Remote Code Execution) è possibile aggirare alcune protezioni ed estrarre dati dal server stesso e dalle altre macchine collegate alla stessa rete.

Meta non ha rilasciato nessun commento ufficiale sulla questione. Il ricercatore ha trovato simili vulnerabilità su altre piattaforme di advertising, ma non sono note le aziende interessate.