Verkkoturvakonsultti löysi Facebookin haavoittuvuuden paljastaen ystäväluettelot ja tunnistetiedot
Facebook on yksi Internetin eniten käytetyistä sosiaalisen median alustoista ja verkkoturvakonsultti J. Franjkovic, on havainnut massiivisen haavoittuvuuden 6.10.2017, joka paljastaa ystäväluettelot käyttäjän tietosuoja-asetuksista huolimatta. Se tarkoittaa, että kuka tahansa hakkeri voi kiertää järjestelmän ja nähdä minkä tahansa Facebook-käyttäjän kaikki ystävät.
Lisäksi tutkija on aiemmin löytänyt Facebook-bugin, jonka avulla on mahdollista saada erilaisia yksityiskohtia ihmisten sosiaalisen verkostoitumisen alustalla käyttämistä maksukorteista. Haavoittuvuus havaittiin 23. helmikuuta 2017, ja se auttoi tutkijaa saamaan kenen tahansa Facebook-käyttäjän tunnistetiedot.
Facebook-virhe paljasti kortin kuusi ensimmäistä numeroa, jotka auttavat tunnistamaan kortin myöntäneen pankin[1]. Lisäksi tietoturvakonsultti sai selville maksukortin neljä viimeistä numeroa, kortinhaltijan etunimen, kortin tyypin, postinumeron, maan, voimassaolon kuukauden ja päivämäärän.
Tutkija ohitti sallittujen luettelon mekanismin
J. Franjkovic sanoi, että ystävälistan voi paljastaa GraphQL: n avulla[2] kyselyt ja asiakkaan tunnus[3] Facebookin kehittämistä sovelluksista. Tutkija onnistui ohittamaan sallittujen luettelon mekanismin käyttämällä "doc_id":tä "query_id":n sijaan ja access_tokenia Facebook for Android -sovelluksesta.
Kerran sallittujen luetteloon[4] mekanismia kierrettiin, J. Franjkovic lähetti GraphQL-kyselyitä. Vaikka suurin osa heistä paljasti vain tiedot, jotka ovat jo julkisia, CSPlaygroundGraphQLFriendsQuery paljasti kaikkien Facebookin käyttäjien piilotetun ystävälistan, jonka tunnus oli mukana.
Jälkimmäisen bugin tapaan toinenkin liittyi GraphQL: ään ja auttoi saamaan luottokorttitiedot. Tutkija käytti myös uhrin Facebook-tilin käyttäjätunnusta ja access_tokenia, jonka voi ottaa Facebookin Android-sovelluksesta.
J. Franjkovic kuvailee tätä Facebook-haavoittuvuutta oppikirjaesimerkiksi epävarmasta suorasta objektiviittausvirheestä, joka tunnetaan myös nimellä IDOR.[5]:
Tämä on oppikirjaesimerkki suojaamattomasta suoran objektiviittausvirheestä (IDOR).
Facebook korjasi virheen muutamassa tunnissa
Facebook-tiimin reaktio olemassa olevaa haavoittuvuutta koskevaan raporttiin yllätti verkkoturvakonsultin. Tutkija sai vastauksen mahdollisuudesta vuotaa ystävälistoja alle viikon kuluttua, 12. lokakuuta. IT-asiantuntijat ovat korjanneet virheen 14. lokakuuta ja estäneet sallittujen luettelon mekanismin ohituksen 17. lokakuuta 2017.
Vastaus luottokorttitietovuotoja koskevaan raporttiin saatiin alle 40 minuutin kuluttua ja haavoittuvuus poistettiin 4 tunnin ja 13 minuutin kuluttua.