יועץ אבטחת אינטרנט מצא פגיעות בפייסבוק שחשפה רשימות חברים ותעודות
פייסבוק היא אחת מפלטפורמות המדיה החברתית הנפוצות ביותר באינטרנט ויועץ אבטחת אינטרנט, J. Franjkovic, זיהה פגיעות מסיבית ב-6 באוקטובר 2017, אשר חושפת רשימות חברים למרות הגדרות הפרטיות של המשתמש. זה אומר שכל האקר יכול לעקוף את המערכת ולראות את כל החברים של כל משתמש בפייסבוק.
בנוסף, מוקדם יותר, החוקר מצא גם באג בפייסבוק המאפשר להשיג פרטים שונים של כרטיסי תשלום המשמשים אנשים בפלטפורמת הרשת החברתית. הפגיעות התגלתה ב-23 בפברואר 2017, ועזרה לחוקר לקבל את האישורים של כל משתמש בפייסבוק.
פגם בפייסבוק חשף את שש הספרות הראשונות של הכרטיס שעוזרות לזהות את הבנק שסיפק אותו[1]. כמו כן, יועץ האבטחה הצליח לקבל גם את ארבע הספרות האחרונות של כרטיס התשלום, השם הפרטי של בעל הכרטיס, סוג הכרטיס, מיקוד, מדינה, חודש תפוגה ותאריך.
החוקר עקף את מנגנון הרשימה הלבנה
י. Franjkovic אמר שיש דרך לחשוף את רשימת החברים באמצעות GraphQL[2] שאילתות והאסימון של הלקוח[3] מאפליקציות שפותחו בפייסבוק. החוקר הצליח לעקוף את מנגנון הרשימה הלבנה באמצעות "doc_id" במקום "query_id" ו-access_token מאפליקציית Facebook לאנדרואיד.
פעם אחת הרשימה הלבנה[4] מנגנון עקף, J. Franjkovic שלח שאילתות GraphQL. בעוד שרובם חשפו רק את הנתונים שכבר פומביים, CSPlaygroundGraphQLFriendsQuery חשף את רשימת החברים הנסתרת של כל משתמש בפייסבוק שהזיהוי שלו נכלל.
בדומה לבאג האחרון, גם אחד אחר היה קשור ל-GraphQL ועזר להשיג פרטי כרטיס אשראי. החוקר השתמש גם בתעודת הזהות של המשתמש מחשבון הפייסבוק של הקורבן וב-access_token שניתן לקחת מאפליקציית פייסבוק לאנדרואיד.
י. Franjkovic מתאר את הפגיעות הזו בפייסבוק כדוגמה לספר לימוד לבאג הפניה ישיר לא מאובטח לאובייקט, הידוע גם בשם IDOR[5]:
זוהי דוגמה של ספר לימוד לבאג הפניה ישיר לאובייקט לא מאובטח (IDOR).
פייסבוק תיקנה את הבאג תוך מספר שעות
תגובת צוות פייסבוק לדיווח על הפגיעות הקיימת הפתיעה את יועץ אבטחת האינטרנט. החוקר קיבל תשובה לגבי האפשרות להדליף רשימות חברים לאחר פחות משבוע, ב-12 באוקטובר. מומחי IT תיקנו את הבאג ב-14 באוקטובר וחסמו את עקיפת מנגנון הרשימה הלבנה ב-17 באוקטובר 2017.
ואילו התגובה לדיווח על דליפת פרטי כרטיס אשראי התקבלה לאחר פחות מ-40 דקות והפגיעות בוטלה לאחר 4 שעות ו-13 דקות.