Il consulente per la sicurezza Web ha scoperto la vulnerabilità di Facebook scoprendo elenchi di amici e credenziali
Facebook è una delle piattaforme di social media più utilizzate su Internet e un consulente per la sicurezza web, J. Franjkovic, ha rilevato un'enorme vulnerabilità il 6 ottobre 2017, che espone gli elenchi di amici nonostante le impostazioni sulla privacy dell'utente. Significa che qualsiasi hacker può aggirare il sistema e vedere tutti gli amici di qualsiasi utente di Facebook.
Inoltre, in precedenza, il ricercatore ha anche scoperto un bug di Facebook che consente di ottenere vari dettagli delle carte di pagamento utilizzate dalle persone sulla piattaforma di social network. La vulnerabilità è stata scoperta il 23 febbraio 2017 e ha aiutato il ricercatore a ricevere le credenziali di qualsiasi utente su Facebook.
La falla di Facebook ha mostrato le prime sei cifre della carta che aiutano a identificare la banca che l'ha fornita[1]. Inoltre, il consulente per la sicurezza è riuscito a ottenere le ultime quattro cifre della carta di pagamento, il nome del titolare, il tipo di carta, il codice postale, il paese, il mese di scadenza e la data.
Il ricercatore ha aggirato il meccanismo di whitelist
J. Franjkovic ha detto che c'è un modo per rivelare la lista degli amici usando GraphQL[2] query e token del cliente[3] dalle applicazioni sviluppate da Facebook. Il ricercatore è riuscito a bypassare il meccanismo di whitelist utilizzando "doc_id" invece di "query_id" e l'access_token dall'app Facebook per Android.
Una volta che la whitelist[4] meccanismo è stato aggirato, J. Franjkovic ha inviato query a GraphQL. Mentre la maggior parte di loro ha rivelato solo i dati che sono già pubblici, CSPlaygroundGraphQLFriendsQuery ha mostrato l'elenco di amici nascosti di qualsiasi utente su Facebook il cui ID è stato incluso.
Simile a quest'ultimo bug, anche un altro era correlato a GraphQL e aiutava a ottenere i dettagli della carta di credito. Il ricercatore ha anche utilizzato l'ID dell'utente dall'account Facebook della vittima e l'access_token che può essere preso dall'app Facebook per Android.
J. Franjkovic descrive questa vulnerabilità di Facebook come un esempio da manuale di un bug di riferimento diretto a oggetti non sicuri, noto anche come IDOR[5]:
Questo è un esempio da manuale di un bug IDOR (Direct Object Reference) non sicuro.
Facebook ha corretto il bug in poche ore
La reazione del team di Facebook al rapporto sulla vulnerabilità esistente ha sorpreso il consulente per la sicurezza web. Il ricercatore ha ricevuto una risposta sulla possibilità di far trapelare elenchi di amici dopo meno di una settimana, il 12 ottobre. Gli esperti IT hanno corretto il bug il 14 ottobre e bloccato il bypass del meccanismo di whitelist il 17 ottobre 2017.
Mentre la risposta alla segnalazione sulla fuga di informazioni sulla carta di credito è stata ricevuta dopo meno di 40 minuti e la vulnerabilità è stata eliminata dopo 4 ore e 13 minuti.