Savjetnik za web sigurnost otkrio je ranjivost Facebooka otkrivajući popise prijatelja i vjerodajnice
Facebook je jedna od najraširenijih platformi društvenih medija na internetu i savjetnik za web sigurnost, J. Franjković, 6. listopada 2017. otkrio je ogromnu ranjivost koja otkriva popise prijatelja unatoč postavkama privatnosti korisnika. To znači da svaki haker može zaobići sustav i vidjeti sve prijatelje bilo kojeg korisnika Facebooka.
Osim toga, ranije je istraživač također pronašao Facebook bug koji omogućuje dobivanje raznih detalja o platnim karticama koje koriste ljudi na platformi društvenih mreža. Ranjivost je otkrivena 23. veljače 2017. i pomogla je istraživaču da dobije vjerodajnice bilo kojeg korisnika na Facebooku.
Greška na Facebooku otkrila je prvih šest znamenki kartice koje pomažu identificirati banku koja ju je dala[1]. Također, savjetnik za sigurnost uspio je dobiti i zadnje četiri znamenke platne kartice, ime vlasnika kartice, vrstu kartice, poštanski broj, državu, mjesec i datum isteka.
Istraživač je zaobišao mehanizam stavljanja na popis dopuštenih
J. Franjković je rekao da postoji način da se pomoću GraphQL-a otkrije lista prijatelja[2] upite i klijentov token[3] iz aplikacija koje je razvio Facebook. Istraživač je uspio zaobići mehanizam stavljanja na popis dopuštenih korištenjem "doc_id" umjesto "query_id" i access_tokena iz aplikacije Facebook za Android.
Jednom na bijelu listu[4] mehanizam je zaobiđen, J. Franjković je poslao GraphQL upite. Dok je većina njih otkrila samo podatke koji su već javni, CSPlaygroundGraphQLFriendsQuery je razotkrio skriveni popis prijatelja bilo kojeg korisnika na Facebooku čiji je ID bio uključen.
Slično potonjem bugu, još jedan je također bio povezan s GraphQL-om i pomogao je dobiti podatke o kreditnoj kartici. Istraživač je također koristio korisnički ID s Facebook računa žrtve i access_token koji se može preuzeti iz Facebook aplikacije za Android.
J. Franjković opisuje ovu ranjivost Facebooka kao školski primjer nesigurnog izravnog referentnog buga objekta, također poznatog kao IDOR[5]:
Ovo je školski primjer nesigurne greške izravne reference objekta (IDOR).
Facebook je ispravio grešku u roku od nekoliko sati
Reakcija Facebook tima na prijavu o postojećoj ranjivosti iznenadila je savjetnika za web sigurnost. Odgovor o mogućnosti propuštanja popisa prijatelja istraživač je dobio nakon manje od tjedan dana, 12. listopada. IT stručnjaci su ispravili bug 14. listopada i blokirali zaobilaženje mehanizma stavljanja na popis dopuštenih 17. listopada 2017.
Dok je odgovor na prijavu o curenju podataka o kreditnoj kartici zaprimljen nakon manje od 40 minuta, a ranjivost je eliminirana nakon 4 sata i 13 minuta.