Szerintem elég jól le van írva az első oldalon, de ahogy óhajtod:
- A hacker kapott egy fülest lehetséges RCE-ről az instragram szervereinél (sensu.instagram.com)
- Ezzel belépett, letöltötte a bcrypt-el titkosított jelszavakat tartalmazó fájlokat, majd JtR-el visszafejtett párat (changeme, password, instagram)
- Ezekkel belépett, nem csinált semmi módosítást és jelentette a facebooknak (később megkapta a 2500USD-t)
- Az instagram meg is szüntette ezt a belépési lehetőséget
- A hacker folytatta útját a szerveren talált /etc/sensu/config.json fájlban lévő AWS kulcsok alapján
- Ezt használva több lépésen keresztül, távoli ip-ről, bármilyen adathoz hozzáférhetett (fenti lista)
- Ezt is jelentette a FB-nak
- Ez már nem tetszett a FB-nak és a cég CFO-ja felhívta a hacker munkáltatóját és jelezte a tevékenységét és kérte a privát adatok biztonságos kezelését
Szóval szerintem itt durvább dologról volt szó (bár a t ügynél még hiányosak az infók) és az AWS hozzáféréssel valóban túl ment a határon, de nem került börtönbe