Un consultor de seguridad web descubrió una vulnerabilidad de Facebook al descubrir listas de amigos y credenciales
Facebook es una de las plataformas de redes sociales más utilizadas en Internet y un consultor de seguridad web, J. Franjkovic, ha detectado una vulnerabilidad masiva el 6 de octubre de 2017, que expone listas de amigos a pesar de la configuración de privacidad del usuario. Significa que cualquier pirata informático puede burlar el sistema y ver a todos los amigos de cualquier usuario de Facebook.
Además, anteriormente, el investigador también encontró un error de Facebook que permite obtener varios detalles de las tarjetas de pago utilizadas por las personas en la plataforma de redes sociales. La vulnerabilidad fue descubierta el 23 de febrero de 2017 y ayudó al investigador a recibir las credenciales de cualquier usuario en Facebook.
La falla de Facebook expuso los primeros seis dígitos de la tarjeta que ayudan a identificar el banco que la proporcionó.[1]. Además, el consultor de seguridad logró obtener los últimos cuatro dígitos de la tarjeta de pago, el nombre del titular de la tarjeta, el tipo de tarjeta, el código postal, el país, el mes de vencimiento y la fecha.
El investigador pasó por alto el mecanismo de listas blancas
J. Franjkovic dijo que hay una manera de revelar la lista de amigos usando GraphQL[2] consultas y el token del cliente[3] de aplicaciones desarrolladas por Facebook. El investigador logró eludir el mecanismo de lista blanca utilizando "doc_id" en lugar de "query_id" y el access_token de Facebook para la aplicación de Android.
Una vez que la lista blanca[4] mecanismo fue eludido, J. Franjkovic envió consultas GraphQL. Si bien la mayoría de ellos revelaron solo los datos que ya son públicos, CSPlaygroundGraphQLFriendsQuery expuso la lista de amigos oculta de cualquier usuario en Facebook cuya identificación se incluyó.
Similar al último error, otro también estaba relacionado con GraphQL y ayudó a obtener los detalles de la tarjeta de crédito. El investigador también usó la identificación del usuario de la cuenta de Facebook de la víctima y el access_token que se puede tomar de la aplicación de Facebook para Android.
J. Franjkovic describe esta vulnerabilidad de Facebook como un ejemplo de libro de texto de un error de referencia de objeto directo inseguro, también conocido como IDOR[5]:
Este es un ejemplo de libro de texto de un error de referencia de objeto directo inseguro (IDOR).
Facebook solucionó el error en varias horas
La reacción del equipo de Facebook al informe sobre la vulnerabilidad existente sorprendió al consultor de seguridad web. El investigador recibió una respuesta sobre la posibilidad de filtrar listas de amigos después de menos de una semana, el 12 de octubre. Los expertos en TI corrigieron el error el 14 de octubre y bloquearon la omisión del mecanismo de lista blanca el 17 de octubre de 2017.
Mientras que la respuesta al informe sobre la fuga de información de la tarjeta de crédito se recibió en menos de 40 minutos y la vulnerabilidad se eliminó después de 4 horas y 13 minutos.