Facebook-fejl afslørede betalingskortoplysninger og vennelister

Websikkerhedskonsulent fandt Facebooks sårbarhed, der afslørede vennelister og legitimationsoplysninger

Facebooks sårbarhed er allerede rettet

Facebook er en af ​​de mest udbredte sociale medieplatforme på internettet og en websikkerhedskonsulent, J. Franjkovic, har opdaget en massiv sårbarhed den 6. oktober 2017, som afslører vennelister på trods af brugerens privatlivsindstillinger. Det betyder, at enhver hacker kan omgå systemet og se alle venner af enhver Facebook-bruger.

Derudover har forskeren tidligere også fundet en Facebook-fejl, der gør det muligt at få forskellige oplysninger om betalingskort, der bruges af folk på den sociale netværksplatform. Sårbarheden blev opdaget den 23. februar 2017 og hjalp forskeren med at modtage legitimationsoplysningerne for enhver bruger på Facebook.

Facebook-fejl afslørede de første seks cifre på kortet, som hjælper med at identificere den bank, der har leveret det[1]. Det lykkedes også sikkerhedskonsulenten at få de sidste fire cifre på betalingskortet, kortholderens fornavn, korttype, postnummer, land, udløbsmåned og -dato.

Forskeren omgik hvidlistemekanismen

J. Franjkovic sagde, at der er en måde at afsløre vennelisten ved at bruge GraphQL[2] forespørgsler og kundens token[3] fra Facebook-udviklede applikationer. Forskeren formåede at omgå hvidlistemekanismen ved at bruge "doc_id" i stedet for "query_id" og access_token fra Facebook til Android-appen.

Når hvidlisten[4] mekanismen blev omgået, J. Franjkovic sendte GraphQL-forespørgsler. Mens de fleste af dem kun afslørede data, som allerede er offentlige, afslørede CSPlaygroundGraphQLFriendsQuery den skjulte venneliste for enhver bruger på Facebook, hvis id var inkluderet.

I lighed med sidstnævnte fejl var en anden også relateret til GraphQL og hjalp med at få kreditkortoplysninger. Forskeren brugte også bruger-id fra offerets Facebook-konto og access_token, som kan tages fra Facebook-appen til Android.

J. Franjkovic beskriver denne Facebook-sårbarhed som et lærebogseksempel på en usikker direkte objektreferencefejl, også kendt som IDOR[5]:

Dette er et lærebogseksempel på en usikker direkte objektreferencefejl (IDOR).

Facebook rettede fejlen inden for flere timer

Facebook-teamets reaktion på rapporten om den eksisterende sårbarhed overraskede websikkerhedskonsulenten. Forskeren fik svar om muligheden for at lække vennelister efter mindre end en uge, den 12. oktober. IT-eksperter har rettet fejlen den 14. oktober og blokeret omgåelsen af ​​hvidlistemekanismen den 17. oktober 2017.

Mens svaret på rapporten om læk af kreditkortoplysninger blev modtaget efter mindre end 40 minutter, og sårbarheden blev elimineret efter 4 timer og 13 minutter.