Konsultan keamanan web menemukan kerentanan Facebook mengungkap daftar teman dan kredensial
Facebook adalah salah satu platform media sosial yang paling banyak digunakan di Internet dan konsultan keamanan web, J. Franjkovic, telah mendeteksi kerentanan besar pada 6 Oktober 2017, yang memperlihatkan daftar teman meskipun pengaturan privasi pengguna. Ini berarti bahwa peretas mana pun dapat menghindari sistem dan melihat semua teman pengguna Facebook mana pun.
Selain itu, sebelumnya, peneliti juga menemukan bug Facebook yang memungkinkan untuk mendapatkan berbagai detail kartu pembayaran yang digunakan oleh orang-orang di platform jejaring sosial. Kerentanan ditemukan pada 23 Februari 2017, dan membantu peneliti menerima kredensial dari setiap pengguna di Facebook.
Cacat Facebook mengekspos enam digit pertama kartu yang membantu mengidentifikasi bank yang menyediakannya[1]. Juga, konsultan keamanan berhasil mendapatkan empat digit terakhir dari kartu pembayaran, nama depan pemegang kartu, jenis kartu, kode pos, negara, bulan kedaluwarsa dan tanggal juga.
Peneliti melewati mekanisme daftar putih
J. Franjkovic mengatakan bahwa ada cara untuk mengungkapkan daftar teman dengan menggunakan GraphQL[2] kueri dan token klien[3] dari aplikasi yang dikembangkan Facebook. Peneliti berhasil melewati mekanisme daftar putih dengan menggunakan “doc_id” alih-alih “query_id” dan access_token dari aplikasi Facebook untuk Android.
Setelah masuk daftar putih[4] mekanisme dielakkan, J. Franjkovic mengirim pertanyaan GraphQL. Sementara sebagian besar dari mereka hanya mengungkapkan data yang sudah publik, CSPlaygroundGraphQLFriendsQuery mengekspos daftar teman tersembunyi dari setiap pengguna di Facebook yang ID-nya disertakan.
Mirip dengan bug yang terakhir, yang lain juga terkait dengan GraphQL dan membantu mendapatkan detail kartu kredit. Peneliti juga menggunakan ID pengguna dari akun Facebook korban dan access_token yang dapat diambil dari aplikasi Facebook untuk Android.
J. Franjkovic menjelaskan kerentanan Facebook ini sebagai contoh buku teks dari bug referensi objek langsung yang tidak aman, juga dikenal sebagai IDOR[5]:
Ini adalah contoh buku teks dari bug referensi objek langsung (IDOR) yang tidak aman.
Facebook memperbaiki bug dalam beberapa jam
Reaksi tim Facebook terhadap laporan tentang kerentanan yang ada mengejutkan konsultan keamanan web. Peneliti menerima tanggapan tentang kemungkinan membocorkan daftar teman setelah kurang dari seminggu, pada 12 Oktober. Pakar TI telah memperbaiki bug pada 14 Oktober dan memblokir bypass mekanisme daftar putih pada 17 Oktober 2017.
Sedangkan respon terhadap laporan kebocoran informasi kartu kredit diterima setelah kurang dari 40 menit dan kerentanan dihilangkan setelah 4 jam 13 menit.