Websicherheitsberater fand Facebook-Schwachstelle beim Aufdecken von Freundeslisten und Zugangsdaten
Facebook ist eine der am weitesten verbreiteten Social-Media-Plattformen im Internet und ein Web-Sicherheitsberater, J. Franjkovic, hat am 6. Oktober 2017 eine massive Schwachstelle entdeckt, die Freundeslisten trotz der Datenschutzeinstellungen des Benutzers offenlegt. Das bedeutet, dass jeder Hacker das System umgehen und alle Freunde jedes Facebook-Benutzers sehen kann.
Darüber hinaus hat der Forscher zuvor auch einen Facebook-Fehler gefunden, der es ermöglicht, verschiedene Details zu Zahlungskarten zu erhalten, die von Personen auf der Social-Networking-Plattform verwendet werden. Die Schwachstelle wurde am 23. Februar 2017 entdeckt und half dem Forscher, die Zugangsdaten jedes Benutzers auf Facebook zu erhalten.
Facebook-Fehler hat die ersten sechs Ziffern der Karte enthüllt, die helfen, die Bank zu identifizieren, die sie bereitgestellt hat[1]. Außerdem gelang es dem Sicherheitsberater, die letzten vier Ziffern der Zahlungskarte, den Vornamen des Karteninhabers, den Kartentyp, die Postleitzahl, das Land, den Ablaufmonat und das Datum zu ermitteln.
Der Forscher hat den Whitelisting-Mechanismus umgangen
J. Franjkovic sagte, dass es eine Möglichkeit gibt, die Freundesliste mithilfe von GraphQL. offenzulegen[2] Abfragen und das Token des Kunden[3] von von Facebook entwickelten Anwendungen. Dem Forscher gelang es, den Whitelisting-Mechanismus zu umgehen, indem er "doc_id" anstelle von "query_id" und das access_token von Facebook für Android-App verwendet.
Sobald die Whitelisting[4] Mechanismus umgangen wurde, J. Franjkovic hat GraphQL-Abfragen gesendet. Während die meisten von ihnen nur die Daten preisgaben, die bereits öffentlich sind, hat CSPlaygroundGraphQLFriendsQuery die versteckte Freundesliste aller Benutzer auf Facebook offengelegt, deren ID enthalten war.
Ähnlich dem letzteren Fehler bezog sich ein weiterer auch auf GraphQL und half dabei, Kreditkartendaten zu erhalten. Der Forscher verwendete auch die Benutzer-ID des Facebook-Kontos des Opfers und das access_token, das aus der Facebook-App für Android entnommen werden kann.
J. Franjkovic beschreibt diese Facebook-Sicherheitslücke als Lehrbuchbeispiel für einen unsicheren Fehler in der direkten Objektreferenz, auch bekannt als IDOR[5]:
Dies ist ein Lehrbuchbeispiel für einen unsicheren direkten Objektreferenzfehler (IDOR).
Facebook hat den Fehler innerhalb weniger Stunden behoben
Die Reaktion des Facebook-Teams auf den Bericht über die bestehende Schwachstelle überraschte den Web-Sicherheitsberater. Der Forscher erhielt am 12. Oktober eine Antwort über die Möglichkeit, Freundeslisten nach weniger als einer Woche durchsickern zu lassen. IT-Experten haben den Fehler am 14. Oktober behoben und die Umgehung des Whitelisting-Mechanismus am 17. Oktober 2017 blockiert.
Während die Antwort auf den Bericht über das Lecken von Kreditkarteninformationen nach weniger als 40 Minuten einging und die Schwachstelle nach 4 Stunden und 13 Minuten behoben wurde.