Бъг във Facebook разкри данни за платежни карти и списъци с приятели

Консултантът по уеб сигурността откри уязвимост във Facebook, разкривайки списъци с приятели и идентификационни данни

Уязвимостта във Facebook вече е коригирана

Facebook е една от най-широко използваните платформи за социални медии в Интернет и консултант по уеб сигурността, Дж. Franjkovic, откри огромна уязвимост на 6 октомври 2017 г., която разкрива списъци с приятели въпреки настройките за поверителност на потребителя. Това означава, че всеки хакер може да заобиколи системата и да види всички приятели на всеки потребител на Facebook.

Освен това по-рано изследователят откри и грешка във Facebook, която позволява да се получат различни подробности за платежните карти, използвани от хората в платформата за социални мрежи. Уязвимостта беше открита на 23 февруари 2017 г. и помогна на изследователя да получи идентификационните данни на всеки потребител във Facebook.

Грешка във Facebook разкри първите шест цифри на картата, които помагат да се идентифицира банката, която я е предоставила[1]. Също така консултантът по сигурността успя да получи последните четири цифри на платежната карта, собственото име на картодържателя, типа на картата, пощенския код, държавата, месеца на валидност и датата.

Изследователят заобиколи механизма на белия списък

Дж. Franjkovic каза, че има начин да се разкрие списъкът с приятели чрез GraphQL[2] заявки и токен на клиента[3] от приложения, разработени от Facebook. Изследователят успя да заобиколи механизма на белия списък, като използва „doc_id“ вместо „query_id“ и access_token от приложението Facebook за Android.

След белия списък[4] механизмът е заобиколен, Дж. Franjkovic изпрати заявки за GraphQL. Докато повечето от тях разкриха само данните, които вече са публични, CSPlaygroundGraphQLFriendsQuery разкри скрития списък с приятели на всеки потребител във Facebook, чийто ID е включен.

Подобно на последния бъг, друг също беше свързан с GraphQL и помогна за получаване на данни за кредитна карта. Изследователят също така използва потребителския идентификатор от Facebook акаунта на жертвата и access_token, който може да бъде взет от приложението Facebook за Android.

Дж. Franjkovic описва тази уязвимост във Facebook като пример от учебник за несигурен бъг за препращане на обект, известен също като IDOR[5]:

Това е учебник пример за несигурен бъг за препращане на обект (IDOR).

Facebook отстрани грешката в рамките на няколко часа

Реакцията на екипа на Facebook към доклада за съществуващата уязвимост изненада консултанта по уеб сигурност. Изследователят получи отговор за възможността за изтичане на списъци с приятели след по-малко от седмица, на 12 октомври. ИТ експертите поправиха грешката на 14 октомври и блокираха заобикалянето на механизма за бели списъци на 17 октомври 2017 г.

Докато отговорът на сигнала за изтичане на информация за кредитна карта беше получен след по-малко от 40 минути, а уязвимостта беше елиминирана след 4 часа и 13 минути.