Žiniatinklio saugos konsultantas aptiko „Facebook“ pažeidžiamumą, atskleidžiantį draugų sąrašus ir kredencialus
„Facebook“ yra viena iš plačiausiai naudojamų socialinės žiniasklaidos platformų internete ir žiniatinklio saugumo konsultantė J. Franjkovic, 2017 m. spalio 6 d. aptiko didžiulį pažeidžiamumą, kuris atskleidžia draugų sąrašus, nepaisant vartotojo privatumo nustatymų. Tai reiškia, kad bet kuris įsilaužėlis gali apeiti sistemą ir matyti visus bet kurio „Facebook“ vartotojo draugus.
Be to, anksčiau mokslininkas taip pat aptiko „Facebook“ klaidą, leidžiančią gauti įvairių socialinių tinklų platformoje žmonių naudojamų mokėjimo kortelių detalių. Pažeidžiamumas buvo aptiktas 2017 m. vasario 23 d. ir padėjo tyrėjui gauti bet kurio „Facebook“ vartotojo kredencialus.
„Facebook“ trūkumas atidengė pirmuosius šešis kortelės skaitmenis, kurie padeda identifikuoti ją pateikusį banką[1]. Taip pat saugos konsultantui pavyko gauti ir paskutinius keturis mokėjimo kortelės skaitmenis, kortelės turėtojo vardą, kortelės tipą, pašto kodą, šalį, galiojimo mėnesį ir datą.
Tyrėjas apejo įtraukimo į baltąjį sąrašą mechanizmą
J. Franjkovičius sakė, kad yra būdas atskleisti draugų sąrašą naudojant GraphQL[2] užklausas ir kliento prieigos raktą[3] iš Facebook sukurtų programų. Tyrėjas sugebėjo apeiti įtraukimo į baltąjį sąrašą mechanizmą naudodamas „doc_id“ vietoj „query_id“ ir prieigos_token iš „Facebook“, skirtos „Android“ programoje.
Kartą įtraukimas į baltąjį sąrašą[4] mechanizmas buvo apeitas, J. Franjkovic atsiuntė GraphQL užklausas. Nors dauguma jų atskleidė tik tuos duomenis, kurie jau yra vieši, CSPlaygroundGraphQLFriendsQuery atskleidė paslėptą bet kurio „Facebook“ vartotojo, kurio ID buvo įtrauktas, draugų sąrašą.
Panaši į pastarąją klaidą, kita taip pat buvo susijusi su GraphQL ir padėjo gauti kredito kortelės duomenis. Tyrėjas taip pat panaudojo vartotojo ID iš aukos Facebook paskyros ir prieigos_tokeną, kurį galima paimti iš Facebook programos, skirtos Android.
J. Franjkovičius apibūdina šį „Facebook“ pažeidžiamumą kaip vadovėlinį nesaugios tiesioginės objekto nuorodos klaidos, dar žinomos kaip IDOR, pavyzdį.[5]:
Tai vadovėlinis nesaugios tiesioginės objekto nuorodos klaidos (IDOR) pavyzdys.
„Facebook“ ištaisė klaidą per kelias valandas
„Facebook“ komandos reakcija į pranešimą apie esamą pažeidžiamumą nustebino žiniatinklio saugumo konsultantą. Atsakymą apie galimybę nutekinti draugų sąrašus tyrėja gavo po mažiau nei savaitės, spalio 12 d. IT ekspertai klaidą ištaisė spalio 14 d., o 2017 m. spalio 17 d. užblokavo įtraukimo į baltąjį sąrašą mechanizmo apėjimą.
Tuo tarpu atsakymas į pranešimą apie kredito kortelės informacijos nutekėjimą gautas greičiau nei po 40 minučių, o pažeidžiamumas pašalintas po 4 valandų ir 13 minučių.