फेसबुक बग ने भुगतान कार्ड विवरण और मित्र सूचियों का खुलासा किया

वेब सुरक्षा सलाहकार ने फेसबुक भेद्यता को मित्र सूचियों और क्रेडेंशियल्स को उजागर करते हुए पाया

फेसबुक इंटरनेट पर सबसे व्यापक रूप से उपयोग किए जाने वाले सोशल मीडिया प्लेटफॉर्म में से एक है और एक वेब सुरक्षा सलाहकार, जे। फ्रांजकोविक ने 6 अक्टूबर, 2017 को एक बड़ी भेद्यता का पता लगाया है, जो उपयोगकर्ता की गोपनीयता सेटिंग्स के बावजूद मित्र सूचियों को उजागर करता है। इसका मतलब है कि कोई भी हैकर सिस्टम को दरकिनार कर सकता है और किसी भी फेसबुक यूजर के सभी दोस्तों को देख सकता है।

इसके अतिरिक्त, इससे पहले, शोधकर्ता को एक फेसबुक बग भी मिला है जो सोशल नेटवर्किंग प्लेटफॉर्म पर लोगों द्वारा उपयोग किए जाने वाले भुगतान कार्ड के विभिन्न विवरण प्राप्त करने की अनुमति देता है। 23 फरवरी, 2017 को भेद्यता की खोज की गई, और शोधकर्ता को फेसबुक पर किसी भी उपयोगकर्ता की साख प्राप्त करने में मदद मिली।

फेसबुक दोष ने कार्ड के पहले छह अंकों को उजागर किया जो उस बैंक की पहचान करने में मदद करता है जिसने इसे प्रदान किया है^[1]. साथ ही, सुरक्षा सलाहकार भुगतान कार्ड के अंतिम चार अंक, कार्डधारक का पहला नाम, कार्ड का प्रकार, ज़िप कोड, देश, समाप्ति माह और तारीख भी प्राप्त करने में कामयाब रहा।

शोधकर्ता ने श्वेतसूची तंत्र को दरकिनार किया

जे। फ्रांजकोविक ने कहा कि GraphQL. का उपयोग करके मित्र सूची का खुलासा करने का एक तरीका है^[2] प्रश्न और ग्राहक का टोकन^[3] फेसबुक द्वारा विकसित अनुप्रयोगों से। शोधकर्ता ने "query_id" के बजाय "doc_id" और Android ऐप के लिए Facebook से access_token का उपयोग करके श्वेतसूची तंत्र को बायपास करने में कामयाबी हासिल की।

एक बार श्वेतसूचीकरण^[4] तंत्र को दरकिनार कर दिया गया था, जे। फ्रांजकोविक ने ग्राफक्यूएल प्रश्न भेजे। जबकि उनमें से अधिकांश ने केवल वही डेटा प्रकट किया जो पहले से ही सार्वजनिक है, CSPlaygroundGraphQLFriendsQuery ने फेसबुक पर किसी भी उपयोगकर्ता की छिपी हुई मित्र सूची को उजागर किया, जिसकी आईडी शामिल थी।

बाद के बग के समान, एक अन्य भी ग्राफ़क्यूएल से संबंधित था और क्रेडिट कार्ड विवरण प्राप्त करने में मदद करता था। शोधकर्ता ने पीड़ित के फेसबुक अकाउंट से यूजर आईडी और एक्सेस_टोकन का भी इस्तेमाल किया, जिसे एंड्रॉइड के लिए फेसबुक ऐप से लिया जा सकता है।

जे। फ्रांजकोविक इस फेसबुक भेद्यता को एक असुरक्षित प्रत्यक्ष वस्तु संदर्भ बग के पाठ्यपुस्तक उदाहरण के रूप में वर्णित करता है, जिसे आईडीओआर भी कहा जाता है^[5]:

यह एक असुरक्षित प्रत्यक्ष वस्तु संदर्भ बग (IDOR) का पाठ्यपुस्तक उदाहरण है।

फेसबुक ने कई घंटों के भीतर बग को ठीक कर दिया

मौजूदा भेद्यता के बारे में रिपोर्ट पर फेसबुक टीम की प्रतिक्रिया ने वेब सुरक्षा सलाहकार को चौंका दिया। शोधकर्ता को 12 अक्टूबर को एक सप्ताह से भी कम समय के बाद मित्र सूची लीक होने की संभावना के बारे में प्रतिक्रिया मिली। आईटी विशेषज्ञों ने 14 अक्टूबर को बग को ठीक कर दिया है और 17 अक्टूबर, 2017 को श्वेतसूची तंत्र के बाईपास को अवरुद्ध कर दिया है।

जबकि क्रेडिट कार्ड की जानकारी लीक होने की रिपोर्ट पर प्रतिक्रिया 40 मिनट से भी कम समय के बाद मिली थी और भेद्यता 4 घंटे 13 मिनट के बाद समाप्त हो गई थी।