كشف خطأ Facebook تفاصيل بطاقة الدفع وقوائم الأصدقاء

منوعاتDec 19, 2021
click fraud protection

اكتشف مستشار أمان الويب ثغرة أمنية على Facebook مما أدى إلى كشف قوائم الأصدقاء وبيانات الاعتماد

تم إصلاح ثغرة Facebook بالفعل

يعد Facebook أحد أكثر منصات الوسائط الاجتماعية استخدامًا على الإنترنت ومستشار أمان الويب ، J. Franjkovic ، ثغرة أمنية هائلة في 6 أكتوبر 2017 ، والتي تكشف قوائم الأصدقاء على الرغم من إعدادات الخصوصية للمستخدم. هذا يعني أن أي متسلل يمكنه التحايل على النظام ورؤية جميع أصدقاء أي مستخدم Facebook.

بالإضافة إلى ذلك ، في وقت سابق ، وجد الباحث أيضًا خطأً على Facebook يسمح بالحصول على تفاصيل مختلفة لبطاقات الدفع التي يستخدمها الأشخاص على منصة الشبكات الاجتماعية. تم اكتشاف الثغرة الأمنية في 23 فبراير 2017 ، وساعدت الباحث في الحصول على بيانات اعتماد أي مستخدم على Facebook.

كشف خطأ Facebook عن الأرقام الستة الأولى من البطاقة التي تساعد في تحديد البنك الذي قدمها[1]. أيضًا ، تمكن مستشار الأمن من الحصول على آخر أربعة أرقام من بطاقة الدفع ، والاسم الأول لحامل البطاقة ، ونوع البطاقة ، والرمز البريدي ، والبلد ، وشهر انتهاء الصلاحية والتاريخ أيضًا.

تجاوز الباحث آلية القائمة البيضاء

ج. قال Franjkovic أن هناك طريقة للكشف عن قائمة الأصدقاء باستخدام GraphQL

[2] الاستفسارات ورمز العميل[3] من تطبيقات فيسبوك المطورة. تمكن الباحث من تجاوز آلية القائمة البيضاء باستخدام “doc_id” بدلاً من “query_id” و access_token من Facebook لتطبيق Android.

مرة واحدة في القائمة البيضاء[4] آلية تم التحايل عليها ، J. أرسل Franjkovic استفسارات GraphQL. في حين أن معظمهم كشف فقط عن البيانات العامة بالفعل ، كشف CSPlaygroundGraphQLFriendsQuery قائمة الأصدقاء المخفية لأي مستخدم على Facebook تم تضمين معرفه.

على غرار الخطأ الأخير ، كان هناك خطأ آخر مرتبط أيضًا بـ GraphQL وساعد في الحصول على تفاصيل بطاقة الائتمان. كما استخدم الباحث معرف المستخدم من حساب الضحية على Facebook و access_token الذي يمكن أخذه من تطبيق Facebook لنظام Android.

ج. يصف Franjkovic هذه الثغرة الأمنية على Facebook بأنها مثال كتابي لخلل مرجعي مباشر غير آمن للكائن ، يُعرف أيضًا باسم IDOR[5]:

هذا مثال كتابي لخلل مرجعي مباشر غير آمن للكائن (IDOR).

قام Facebook بإصلاح الخطأ في غضون عدة ساعات

فاجأ رد فعل فريق Facebook على التقرير حول الثغرة الأمنية مستشار أمان الويب. وتلقى الباحث ردا حول احتمال تسريب قوائم الأصدقاء بعد أقل من أسبوع ، في 12 أكتوبر. قام خبراء تكنولوجيا المعلومات بإصلاح الخطأ في 14 أكتوبر وحظروا تجاوز آلية القائمة البيضاء في 17 أكتوبر 2017.

بينما ورد الرد على التقرير حول تسرب معلومات بطاقة الائتمان بعد أقل من 40 دقيقة وتم القضاء على الثغرة الأمنية بعد 4 ساعات و 13 دقيقة.