웹 보안 컨설턴트가 친구 목록 및 자격 증명을 노출하는 Facebook 취약점 발견
Facebook은 인터넷에서 가장 널리 사용되는 소셜 미디어 플랫폼 중 하나이며 웹 보안 컨설턴트인 J. Franjkovic은 2017년 10월 6일 사용자의 개인 정보 설정에도 불구하고 친구 목록을 노출시키는 대규모 취약점을 발견했습니다. 이는 해커가 시스템을 우회하고 Facebook 사용자의 모든 친구를 볼 수 있음을 의미합니다.
또한 이전에 연구원은 소셜 네트워킹 플랫폼에서 사람들이 사용하는 지불 카드의 다양한 세부 정보를 얻을 수 있는 Facebook 버그를 발견했습니다. 이 취약점은 2017년 2월 23일에 발견되었으며 연구원이 Facebook 사용자의 자격 증명을 받는 데 도움이 되었습니다.
페이스북의 결함은 카드를 제공한 은행을 식별하는 데 도움이 되는 카드의 처음 6자리 숫자를 노출시켰습니다.[1]. 또한 보안 컨설턴트는 지불 카드의 마지막 4자리, 카드 소지자의 이름, 카드 유형, 우편 번호, 국가, 만료 월 및 날짜도 알아냈습니다.
연구원이 화이트리스트 메커니즘을 우회했습니다.
제이. Franjkovic은 GraphQL을 사용하여 친구 목록을 공개하는 방법이 있다고 말했습니다.[2] 쿼리 및 클라이언트 토큰[3] Facebook에서 개발한 애플리케이션에서. 연구원은 "query_id" 대신 "doc_id"와 Android 앱용 Facebook의 access_token을 사용하여 화이트리스트 메커니즘을 우회했습니다.
일단 화이트리스트[4] 메커니즘이 우회되었습니다. J. Franjkovic은 GraphQL 쿼리를 보냈습니다. 그들 대부분은 이미 공개된 데이터만 공개했지만 CSPlaygroundGraphQLFriendsQuery는 ID가 포함된 Facebook 사용자의 숨겨진 친구 목록을 공개했습니다.
후자의 버그와 유사하게 또 다른 하나는 GraphQL과 관련이 있으며 신용 카드 정보를 얻는 데 도움이 되었습니다. 연구원은 또한 피해자의 Facebook 계정에 있는 사용자 ID와 Android용 Facebook 앱에서 가져올 수 있는 access_token을 사용했습니다.
제이. Franjkovic은 이 Facebook 취약점을 IDOR이라고도 하는 안전하지 않은 직접 개체 참조 버그의 교과서적인 예로 설명합니다.[5]:
이것은 안전하지 않은 IDOR(직접 개체 참조 버그)의 교과서적인 예입니다.
Facebook은 몇 시간 만에 버그를 수정했습니다.
기존 취약점에 대한 보고서에 대한 Facebook 팀의 반응은 웹 보안 컨설턴트를 놀라게 했습니다. 연구원은 10월 12일, 일주일도 채 지나지 않아 친구 목록이 유출될 가능성이 있다는 답변을 받았습니다. IT 전문가는 2017년 10월 14일에 버그를 수정하고 2017년 10월 17일에 화이트리스트 메커니즘의 우회를 차단했습니다.
반면 신용카드 정보유출 신고에 대한 답변은 40분도 채 안 돼 접수됐으며 4시간 13분 만에 취약점이 제거됐다.