Ο σύμβουλος ασφάλειας ιστού βρήκε ευπάθεια στο Facebook αποκαλύπτοντας λίστες φίλων και διαπιστευτήρια
Το Facebook είναι μια από τις πιο ευρέως χρησιμοποιούμενες πλατφόρμες μέσων κοινωνικής δικτύωσης στο Διαδίκτυο και ένας σύμβουλος ασφάλειας ιστού, ο J. Ο Franjkovic, εντόπισε μια τεράστια ευπάθεια στις 6 Οκτωβρίου 2017, η οποία εκθέτει τις λίστες φίλων παρά τις ρυθμίσεις απορρήτου του χρήστη. Σημαίνει ότι οποιοσδήποτε χάκερ μπορεί να παρακάμψει το σύστημα και να δει όλους τους φίλους οποιουδήποτε χρήστη του Facebook.
Επιπλέον, νωρίτερα, ο ερευνητής βρήκε επίσης ένα σφάλμα στο Facebook που επιτρέπει την απόκτηση διαφόρων στοιχείων καρτών πληρωμής που χρησιμοποιούνται από άτομα στην πλατφόρμα κοινωνικής δικτύωσης. Η ευπάθεια ανακαλύφθηκε στις 23 Φεβρουαρίου 2017 και βοήθησε τον ερευνητή να λάβει τα διαπιστευτήρια οποιουδήποτε χρήστη στο Facebook.
Το ελάττωμα του Facebook αποκάλυψε τα πρώτα έξι ψηφία της κάρτας που βοηθούν στην αναγνώριση της τράπεζας που την έχει παράσχει[1]. Επίσης, ο σύμβουλος ασφαλείας κατάφερε να πάρει και τα τέσσερα τελευταία ψηφία της κάρτας πληρωμής, το όνομα του κατόχου της κάρτας, τον τύπο κάρτας, τον ταχυδρομικό κώδικα, τη χώρα, τον μήνα λήξης και την ημερομηνία.
Ο ερευνητής παρέκαμψε τον μηχανισμό επιτρεπόμενης λίστας
J. Ο Franjkovic είπε ότι υπάρχει τρόπος να αποκαλυφθεί η λίστα φίλων χρησιμοποιώντας το GraphQL[2] ερωτήματα και το διακριτικό του πελάτη[3] από εφαρμογές που έχουν αναπτυχθεί από το Facebook. Ο ερευνητής κατάφερε να παρακάμψει τον μηχανισμό επιτρεπόμενης λίστας χρησιμοποιώντας το "doc_id" αντί για το "query_id" και το access_token από την εφαρμογή Facebook για Android.
Μόλις η επιτρεπόμενη λίστα[4] ο μηχανισμός καταστρατηγήθηκε, J. Ο Franjkovic έστειλε ερωτήματα GraphQL. Ενώ οι περισσότεροι από αυτούς αποκάλυψαν μόνο τα δεδομένα που είναι ήδη δημόσια, το CSPlaygroundGraphQLFriendsQuery αποκάλυψε την κρυφή λίστα φίλων οποιουδήποτε χρήστη στο Facebook του οποίου το αναγνωριστικό περιλαμβανόταν.
Παρόμοιο με το τελευταίο σφάλμα, ένα άλλο είχε επίσης σχέση με το GraphQL και βοήθησε στην απόκτηση στοιχείων πιστωτικής κάρτας. Ο ερευνητής χρησιμοποίησε επίσης το αναγνωριστικό χρήστη από τον λογαριασμό του θύματος στο Facebook και το access_token που μπορεί να ληφθεί από την εφαρμογή Facebook για Android.
J. Ο Franjkovic περιγράφει αυτήν την ευπάθεια του Facebook ως ένα παράδειγμα σχολικού βιβλίου ενός ανασφαλούς σφάλματος αναφοράς άμεσου αντικειμένου, γνωστό και ως IDOR[5]:
Αυτό είναι ένα παράδειγμα σχολικού βιβλίου ενός σφάλματος αναφοράς μη ασφαλούς άμεσου αντικειμένου (IDOR).
Το Facebook διόρθωσε το σφάλμα μέσα σε λίγες ώρες
Η αντίδραση της ομάδας του Facebook στην αναφορά σχετικά με την υπάρχουσα ευπάθεια εξέπληξε τον σύμβουλο ασφάλειας ιστού. Ο ερευνητής έλαβε μια απάντηση σχετικά με την πιθανότητα διαρροής λιστών φίλων μετά από λιγότερο από μια εβδομάδα, στις 12 Οκτωβρίου. Οι ειδικοί πληροφορικής διόρθωσαν το σφάλμα στις 14 Οκτωβρίου και απέκλεισαν τον μηχανισμό παράκαμψης της επιτρεπόμενης λίστας στις 17 Οκτωβρίου 2017.
Ενώ η απάντηση στην αναφορά για διαρροή πληροφοριών πιστωτικής κάρτας ελήφθη μετά από λιγότερο από 40 λεπτά και η ευπάθεια εξαλείφθηκε μετά από 4 ώρες και 13 λεπτά.