Veebiturbe konsultant leidis Facebooki haavatavuse, mis paljastas sõbraloendeid ja mandaate
Facebook on üks enimkasutatavaid sotsiaalmeediaplatvorme Internetis ja veebiturbe konsultant J. Franjkovic avastas 6. oktoobril 2017 tohutu haavatavuse, mis paljastab sõbraloendid hoolimata kasutaja privaatsusseadetest. See tähendab, et iga häkker võib süsteemist mööda hiilida ja näha mis tahes Facebooki kasutaja kõiki sõpru.
Lisaks on teadlane varem leidnud ka Facebooki vea, mis võimaldab saada erinevaid andmeid suhtlusplatvormil inimeste poolt kasutatavate maksekaartide kohta. Haavatavus avastati 23. veebruaril 2017 ja see aitas uurijal saada Facebooki mis tahes kasutaja mandaadid.
Facebooki viga paljastas kaardi kuus esimest numbrit, mis aitavad tuvastada kaardi väljastanud panga[1]. Samuti õnnestus turvakonsultandil saada kätte maksekaardi neli viimast numbrit, kaardiomaniku eesnimi, kaardi tüüp, sihtnumber, riik, aegumiskuu ja kuupäev.
Teadlane läks valgesse nimekirja lisamise mehhanismist mööda
J. Franjkovic ütles, et GraphQL-i abil on võimalik sõprade nimekirja avalikustada[2] päringud ja kliendi tunnus[3] Facebooki arendatud rakendustest. Uurijal õnnestus valgesse nimekirja lisamise mehhanismist mööda minna, kasutades "query_id" asemel "doc_id" ja Facebooki Androidi rakenduse access_tokenit.
Kunagi valge nimekirja kandmine[4] mehhanismist hoiti mööda, J. Franjkovic saatis GraphQL-i päringuid. Kui enamik neist paljastas ainult need andmed, mis on juba avalikud, siis CSPlaygroundGraphQLFriendsQuery paljastas kõigi Facebooki kasutajate peidetud sõbraloendi, kelle ID oli lisatud.
Sarnaselt viimasele veale oli GraphQL-iga seotud ka teine viga, mis aitas hankida krediitkaardiandmeid. Uurija kasutas ka kasutaja ID-d ohvri Facebooki kontolt ja access_tokenit, mille saab võtta Androidi Facebooki rakendusest.
J. Franjkovic kirjeldab seda Facebooki haavatavust kui õpikunäidet ebaturvalisest otseobjektiviite veast, mida tuntakse ka kui IDOR[5]:
See on õpikunäide ebaturvalisest otseobjektiviite veast (IDOR).
Facebook parandas vea mõne tunni jooksul
Facebooki meeskonna reaktsioon teatele olemasoleva haavatavuse kohta üllatas veebiturbe konsultanti. Sõbranimekirjade lekitamise võimaluse kohta sai teadlane vastuse vähem kui nädala pärast, 12. oktoobril. IT-eksperdid parandasid vea 14. oktoobril ja blokeerisid valgesse nimekirja lisamise mehhanismi möödasõidu 17. oktoobril 2017.
Kui krediitkaardiandmete lekke teatele saadi vastus vähem kui 40 minuti pärast ning haavatavus kõrvaldati 4 tunni ja 13 minuti pärast.