Chyba Facebooku odhalila podrobnosti o platební kartě a seznamy přátel

RůznéDec 19, 2021
click fraud protection

Poradce pro webovou bezpečnost našel zranitelnost Facebooku při odhalování seznamů přátel a přihlašovacích údajů

Zranitelnost Facebooku je již opravena

Facebook je jednou z nejpoužívanějších platforem sociálních médií na internetu a konzultant pro webovou bezpečnost, J. Franjkovic, 6. října 2017 zjistil masivní zranitelnost, která odhaluje seznamy přátel navzdory nastavení soukromí uživatele. To znamená, že jakýkoli hacker může obejít systém a vidět všechny přátele jakéhokoli uživatele Facebooku.

Kromě toho dříve výzkumník také našel chybu Facebooku, která umožňuje získat různé podrobnosti o platebních kartách používaných lidmi na platformě sociálních sítí. Chyba zabezpečení byla objevena 23. února 2017 a pomohla výzkumníkovi získat přihlašovací údaje jakéhokoli uživatele na Facebooku.

Chyba Facebooku odhalila prvních šest číslic karty, které pomáhají identifikovat banku, která ji poskytla[1]. Bezpečnostnímu konzultantovi se také podařilo získat poslední čtyři číslice platební karty, jméno držitele karty, typ karty, PSČ, zemi, měsíc a datum platnosti.

Výzkumník obešel mechanismus whitelistingu

J. Franjkovic řekl, že existuje způsob, jak zveřejnit seznam přátel pomocí GraphQL[2] dotazy a token klienta[3] z aplikací vyvinutých na Facebooku. Výzkumníkovi se podařilo obejít mechanismus přidávání na seznam povolených použitím „doc_id“ místo „query_id“ a access_token z aplikace Facebook pro Android.

Jednou na whitelistu[4] mechanismus byl obejit, J. Franjkovic poslal GraphQL dotazy. Zatímco většina z nich odhalila pouze data, která jsou již veřejná, CSPlaygroundGraphQLFriendsQuery odhalil skrytý seznam přátel jakéhokoli uživatele na Facebooku, jehož ID bylo zahrnuto.

Podobně jako u posledně jmenované chyby, další se také týkala GraphQL a pomohla získat podrobnosti o kreditní kartě. Výzkumník také použil ID uživatele z facebookového účtu oběti a access_token, který lze získat z aplikace Facebook pro Android.

J. Franjkovic popisuje tuto zranitelnost Facebooku jako učebnicový příklad chyby s nezabezpečeným přímým odkazem na objekt, známé také jako IDOR.[5]:

Toto je učebnicový příklad chyby s nezabezpečeným přímým odkazem na objekt (IDOR).

Facebook chybu opravil během několika hodin

Reakce týmu Facebooku na zprávu o existující zranitelnosti konzultanta pro webovou bezpečnost překvapila. Výzkumník obdržel odpověď na možnost úniku seznamů přátel po necelém týdnu, 12. října. IT experti opravili chybu 14. října a zablokovali obcházení mechanismu whitelistingu 17. října 2017.

Zatímco odpověď na zprávu o úniku informací o kreditní kartě byla přijata po méně než 40 minutách a zranitelnost byla odstraněna po 4 hodinách a 13 minutách.