Un bug de Facebook a révélé les détails de la carte de paiement et les listes d'amis

DiversDec 19, 2021
click fraud protection

Un consultant en sécurité Web a découvert une vulnérabilité Facebook révélant des listes d'amis et des informations d'identification

La vulnérabilité Facebook est déjà corrigée

Facebook est l'une des plateformes de médias sociaux les plus utilisées sur Internet et un consultant en sécurité Web, J. Franjkovic, a détecté une vulnérabilité massive le 6 octobre 2017, qui expose des listes d'amis malgré les paramètres de confidentialité de l'utilisateur. Cela signifie que n'importe quel pirate peut contourner le système et voir tous les amis de n'importe quel utilisateur de Facebook.

De plus, plus tôt, le chercheur a également découvert un bogue Facebook permettant d'obtenir divers détails sur les cartes de paiement utilisées par les personnes sur la plate-forme de réseau social. La vulnérabilité a été découverte le 23 février 2017 et a aidé le chercheur à recevoir les informations d'identification de n'importe quel utilisateur sur Facebook.

Une faille Facebook a exposé les six premiers chiffres de la carte qui permettent d'identifier la banque qui l'a fournie

[1]. De plus, le consultant en sécurité a réussi à obtenir les quatre derniers chiffres de la carte de paiement, le prénom du titulaire, le type de carte, le code postal, le pays, le mois et la date d'expiration.

Le chercheur a contourné le mécanisme de liste blanche

J. Franjkovic a déclaré qu'il existe un moyen de divulguer la liste d'amis en utilisant GraphQL[2] requêtes et le jeton du client[3] à partir d'applications développées par Facebook. Le chercheur a réussi à contourner le mécanisme de liste blanche en utilisant « doc_id » au lieu de « query_id » et l'access_token de Facebook pour l'application Android.

Une fois la liste blanche[4] mécanisme a été contourné, J. Franjkovic a envoyé des requêtes GraphQL. Alors que la plupart d'entre eux n'ont révélé que les données déjà publiques, CSPlaygroundGraphQLFriendsQuery a exposé la liste d'amis cachée de tout utilisateur sur Facebook dont l'identifiant était inclus.

Semblable à ce dernier bogue, un autre était également lié à GraphQL et aidait à obtenir les détails de la carte de crédit. Le chercheur a également utilisé l'identifiant de l'utilisateur du compte Facebook de la victime et le access_token qui peut être extrait de l'application Facebook pour Android.

J. Franjkovic décrit cette vulnérabilité Facebook comme un exemple classique d'un bogue de référence d'objet direct non sécurisé, également connu sous le nom d'IDOR[5]:

Il s'agit d'un exemple classique d'un bogue de référence d'objet direct non sécurisé (IDOR).

Facebook a corrigé le bug en quelques heures

La réaction de l'équipe de Facebook au rapport sur la vulnérabilité existante a surpris le consultant en sécurité Web. Le chercheur a reçu une réponse sur la possibilité de divulguer des listes d'amis après moins d'une semaine, le 12 octobre. Les experts informatiques ont corrigé le bogue le 14 octobre et bloqué le contournement du mécanisme de liste blanche le 17 octobre 2017.

Alors que la réponse au rapport sur la fuite d'informations sur les cartes de crédit a été reçue après moins de 40 minutes et la vulnérabilité a été éliminée après 4 heures et 13 minutes.