A webbiztonsági tanácsadó egy sebezhetőséget talált a Facebookon, amely ismerőslistákat és hitelesítő adatokat tárt fel
A Facebook az egyik legszélesebb körben használt közösségi média platform az interneten, és egy webbiztonsági tanácsadó, J. Franjkovic 2017. október 6-án egy hatalmas sebezhetőséget észlelt, amely a felhasználó adatvédelmi beállításai ellenére felfedi a barátlistákat. Ez azt jelenti, hogy bármely hacker megkerülheti a rendszert, és láthatja bármely Facebook-felhasználó összes barátját.
Emellett a kutató korábban egy Facebook-hibát is talált, amely lehetővé teszi az emberek által a közösségi oldalakon használt fizetési kártyák különböző részleteit. A sérülékenységet 2017. február 23-án fedezték fel, és segítette a kutatót abban, hogy megszerezze a Facebook bármely felhasználójának hitelesítő adatait.
A Facebook hibája felfedte a kártya első hat számjegyét, amelyek segítenek azonosítani az azt kibocsátó bankot[1]. Emellett a biztonsági tanácsadónak sikerült megszereznie a fizetőkártya utolsó négy számjegyét, a kártyabirtokos keresztnevét, kártyatípusát, irányítószámát, országát, lejárati hónapját és dátumát is.
A kutató megkerülte az engedélyezési mechanizmust
J. Franjkovic elmondta, hogy a GraphQL használatával lehetőség van a barátlista nyilvánosságra hozatalára[2] lekérdezéseket és az ügyfél tokenjét[3] Facebook által fejlesztett alkalmazásokból. A kutatónak sikerült megkerülnie az engedélyezőlistára helyezési mechanizmust a „query_id” helyett a „doc_id” és a Facebook for Android alkalmazás access_token használatával.
Miután a fehérlistára[4] a mechanizmust megkerülték, J. Franjkovic GraphQL-lekérdezéseket küldött. Míg a legtöbbjük csak azokat az adatokat fedte fel, amelyek már nyilvánosak, a CSPlaygroundGraphQLFriendsQuery felfedte minden olyan Facebook-felhasználó rejtett barátlistáját, akinek az azonosítója szerepelt.
Az utóbbi hibához hasonlóan egy másik is a GraphQL-hez kapcsolódott, és segített a hitelkártya adatok megszerzésében. A kutató felhasználta az áldozat Facebook-fiókjából származó felhasználói azonosítót és az access_token-t is, amely a Facebook Android-alkalmazásából nyerhető.
J. Franjkovic úgy írja le ezt a Facebook-sebezhetőséget, mint egy tankönyvi példát egy nem biztonságos közvetlen objektum-hivatkozási hibára, más néven IDOR-ra.[5]:
Ez egy tankönyvi példa egy nem biztonságos közvetlen objektum hivatkozási hibára (IDOR).
A Facebook néhány órán belül kijavította a hibát
A Facebook csapatának reakciója a meglévő biztonsági résről szóló bejelentésre meglepte a webbiztonsági tanácsadót. A baráti listák kiszivárogtatásának lehetőségéről a kutató kevesebb mint egy hét múlva, október 12-én kapott választ. Az informatikai szakértők október 14-én kijavították a hibát, és 2017. október 17-én blokkolták az engedélyezőlistára helyezési mechanizmus megkerülését.
Míg a hitelkártya-információk kiszivárogtatásáról szóló bejelentésre kevesebb, mint 40 perc múlva érkezett válasz, a sebezhetőséget pedig 4 óra 13 perc alatt sikerült megszüntetni.