Webセキュリティコンサルタントは、Facebookの脆弱性が友人リストと資格情報を明らかにしていることを発見しました
Facebookは、インターネット上で最も広く使用されているソーシャルメディアプラットフォームの1つであり、WebセキュリティコンサルタントのJです。 Franjkovicは、2017年10月6日に大規模な脆弱性を検出しました。これにより、ユーザーのプライバシー設定に関係なく、友達リストが公開されます。 これは、ハッカーがシステムを迂回して、Facebookユーザーのすべての友達を見ることができることを意味します。
さらに、以前、研究者は、ソーシャルネットワーキングプラットフォームで人々が使用する支払いカードのさまざまな詳細を取得できるFacebookのバグも発見しました。 この脆弱性は2017年2月23日に発見され、研究者がFacebook上のすべてのユーザーの資格情報を受け取るのに役立ちました。
Facebookの欠陥により、カードの最初の6桁が明らかになり、カードを提供した銀行を特定するのに役立ちます[1]. また、セキュリティコンサルタントは、支払いカードの下4桁、カード所有者の名、カードの種類、郵便番号、国、有効期限の月日も取得することができました。
研究者はホワイトリストのメカニズムをバイパスしました
J。 Franjkovicは、GraphQLを使用して友達リストを開示する方法があると述べました[2] クエリとクライアントのトークン[3] Facebookが開発したアプリケーションから。 研究者は、「query_id」の代わりに「doc_id」とFacebook for Androidアプリのaccess_tokenを使用することで、ホワイトリストのメカニズムを回避することができました。
ホワイトリストに登録したら[4] メカニズムは回避されました、J。 FranjkovicはGraphQLクエリを送信しました。 それらのほとんどはすでに公開されているデータのみを公開しましたが、CSPlaygroundGraphQLFriendsQueryは、IDが含まれているFacebook上のすべてのユーザーの非表示の友達リストを公開しました。
後者のバグと同様に、別のバグもGraphQLに関連しており、クレジットカードの詳細を取得するのに役立ちました。 研究者はまた、被害者のFacebookアカウントからのユーザーIDと、Android用のFacebookアプリから取得できるaccess_tokenを使用しました。
J。 Franjkovicは、このFacebookの脆弱性を、IDORとも呼ばれる安全でない直接オブジェクト参照バグの教科書の例として説明しています。[5]:
これは、安全でない直接オブジェクト参照バグ(IDOR)の教科書の例です。
Facebookは数時間以内にバグを修正しました
既存の脆弱性に関するレポートに対するFacebookチームの反応は、Webセキュリティコンサルタントを驚かせました。 研究者は、10月12日、1週間も経たないうちに友達リストをリークする可能性についての回答を受け取りました。 IT専門家は、2017年10月14日にバグを修正し、2017年10月17日にホワイトリストメカニズムのバイパスをブロックしました。
クレジットカード情報漏えいに関する報告への回答は40分以内に受信され、脆弱性は4時間13分後に解消されました。