ფეისბუქის შეცდომამ გამოავლინა გადახდის ბარათის დეტალები და მეგობრების სიები

MiscellaneaDec 19, 2021

ვებ-უსაფრთხოების კონსულტანტმა აღმოაჩინა ფეისბუქის დაუცველობა მეგობრების სიებისა და რწმუნებათა სიებისა

Facebook-ის დაუცველობა უკვე გამოსწორებულია

Facebook არის ერთ-ერთი ყველაზე ფართოდ გამოყენებული სოციალური მედიის პლატფორმა ინტერნეტში და ვებ უსაფრთხოების კონსულტანტი, ჯ. Franjkovic-მა აღმოაჩინა უზარმაზარი დაუცველობა 2017 წლის 6 ოქტომბერს, რომელიც ავლენს მეგობრების სიებს, მიუხედავად მომხმარებლის კონფიდენციალურობის პარამეტრებისა. ეს ნიშნავს, რომ ნებისმიერ ჰაკერს შეუძლია გვერდი აუაროს სისტემას და ნახოს ფეისბუქის ნებისმიერი მომხმარებლის ყველა მეგობარი.

გარდა ამისა, ადრე, მკვლევარმა ასევე აღმოაჩინა Facebook-ის შეცდომა, რომელიც საშუალებას გაძლევთ მოიპოვოთ გადახდის ბარათების სხვადასხვა დეტალები, რომლებსაც ადამიანები იყენებენ სოციალური ქსელის პლატფორმაზე. დაუცველობა აღმოაჩინეს 2017 წლის 23 თებერვალს და დაეხმარა მკვლევარს Facebook-ზე ნებისმიერი მომხმარებლის რწმუნებათა სიგელის მიღებაში.

ფეისბუქის ხარვეზმა გამოავლინა ბარათის პირველი ექვსი ციფრი, რაც ხელს უწყობს ბანკის იდენტიფიცირებას, რომელმაც ის მიაწოდა[1]. ასევე, უსაფრთხოების კონსულტანტმა მოახერხა გადახდის ბარათის ბოლო ოთხი ციფრის, ბარათის მფლობელის სახელის, ბარათის ტიპის, ZIP კოდის, ქვეყნის, ვადის გასვლის თვე და თარიღის მიღება.

მკვლევარმა გვერდი აუარა თეთრი სიის მექანიზმს

ჯ. ფრანიკოვიჩმა თქვა, რომ არსებობს მეგობრების სიის გამჟღავნების გზა GraphQL-ის გამოყენებით[2] მოთხოვნები და კლიენტის ნიშანი[3] Facebook-ის მიერ შემუშავებული აპლიკაციებიდან. მკვლევარმა მოახერხა თეთრი სიის მექანიზმის გვერდის ავლით „doc_id“-ის ნაცვლად „query_id“-ისა და ფეისბუქის Android აპისთვის access_token-ის გამოყენებით.

ერთხელ თეთრ სიაში[4] მექანიზმი გვერდი აუარა, ჯ. ფრანიკოვიჩმა გამოაგზავნა GraphQL მოთხოვნები. მიუხედავად იმისა, რომ მათმა უმეტესობამ გამოავლინა მხოლოდ ის მონაცემები, რომლებიც უკვე საჯაროა, CSPlaygroundGraphQLFriendsQuery-მ გამოავლინა ფეისბუქზე ნებისმიერი მომხმარებლის მეგობრების დამალული სია, რომლის ID იყო ჩართული.

ამ უკანასკნელის მსგავსი შეცდომის მსგავსად, კიდევ ერთი ასევე დაკავშირებული იყო GraphQL-თან და დაეხმარა საკრედიტო ბარათის დეტალების მოპოვებას. მკვლევარმა ასევე გამოიყენა მომხმარებლის ID მსხვერპლის ფეისბუქის ანგარიშიდან და access_token, რომლის აღებაც შესაძლებელია Facebook-ის აპიდან Android-ისთვის.

ჯ. ფრანიკოვიჩი აღწერს ფეისბუქის ამ დაუცველობას, როგორც სახელმძღვანელოს მაგალითი დაუცველი პირდაპირი ობიექტის მითითების შეცდომის შესახებ, რომელიც ასევე ცნობილია როგორც IDOR.[5]:

ეს არის სახელმძღვანელოს მაგალითი დაუცველი პირდაპირი ობიექტის მითითების შეცდომის (IDOR).

ფეისბუქმა ხარვეზი რამდენიმე საათში გამოასწორა

ფეისბუქის გუნდის რეაქციამ არსებული დაუცველობის შესახებ მოხსენებაზე გააკვირვა ვებ უსაფრთხოების კონსულტანტი. მკვლევარმა მიიღო პასუხი მეგობრების სიების გაჟონვის შესაძლებლობის შესახებ ერთ კვირაზე ნაკლებ დროში, 12 ოქტომბერს. IT ექსპერტებმა გამოასწორეს ხარვეზი 14 ოქტომბერს და დაბლოკეს whitelisting მექანიზმის შემოვლითი გზა 2017 წლის 17 ოქტომბერს.

საკრედიტო ბარათის ინფორმაციის გაჟონვის შესახებ მოხსენებაზე პასუხი მიღებული იქნა 40 წუთზე ნაკლებ დროში და დაუცველობა აღმოიფხვრა 4 საათისა და 13 წუთის შემდეგ.