Tīmekļa drošības konsultants atklāja Facebook ievainojamību, atklājot draugu sarakstus un akreditācijas datus
Facebook ir viena no visplašāk izmantotajām sociālo mediju platformām internetā un tīmekļa drošības konsultants Dž. Franjkovičs 2017. gada 6. oktobrī ir atklājis milzīgu ievainojamību, kas atklāj draugu sarakstus, neskatoties uz lietotāja privātuma iestatījumiem. Tas nozīmē, ka jebkurš hakeris var apiet sistēmu un redzēt visus jebkura Facebook lietotāja draugus.
Turklāt iepriekš pētnieks ir atradis arī Facebook kļūdu, kas ļauj iegūt dažādu informāciju par cilvēku lietotajām maksājumu kartēm sociālo tīklu platformā. Ievainojamība tika atklāta 2017. gada 23. februārī, un tā palīdzēja pētniekam saņemt jebkura Facebook lietotāja akreditācijas datus.
Facebook defekts atklāja kartes pirmos sešus ciparus, kas palīdz identificēt banku, kas to ir izsniegusi[1]. Tāpat drošības konsultantam izdevies noskaidrot arī maksājumu kartes pēdējos četrus ciparus, kartes lietotāja vārdu, kartes veidu, pasta indeksu, valsti, derīguma termiņa mēnesi un datumu.
Pētnieks apiet baltā saraksta mehānismu
Dž. Franjkovičs teica, ka ir veids, kā atklāt draugu sarakstu, izmantojot GraphQL[2] vaicājumus un klienta pilnvaru[3] no Facebook izstrādātajām lietojumprogrammām. Pētniekam izdevās apiet baltā saraksta mehānismu, izmantojot “doc_id”, nevis “query_id” un piekļuves_token no Facebook Android lietotnei.
Kad baltajā sarakstā[4] mehānisms tika apiets, Dž. Franjkovičs nosūtīja GraphQL vaicājumus. Lai gan lielākā daļa no tiem atklāja tikai datus, kas jau ir publiski, CSPlaygroundGraphQLFriendsQuery atklāja slēpto draugu sarakstu jebkuram Facebook lietotājam, kura ID bija iekļauts.
Līdzīgi pēdējai kļūdai, vēl viena bija saistīta arī ar GraphQL un palīdzēja iegūt kredītkartes informāciju. Pētnieks izmantoja arī lietotāja ID no upura Facebook konta un access_token, ko var iegūt no Facebook lietotnes Android ierīcēm.
Dž. Franjkovičs apraksta šo Facebook ievainojamību kā nedrošas tiešās objekta atsauces kļūdas, kas pazīstama arī kā IDOR, piemēru.[5]:
Šis ir nedrošas tiešās objekta atsauces kļūdas (IDOR) mācību grāmatas piemērs.
Facebook kļūdu laboja dažu stundu laikā
Facebook komandas reakcija uz ziņojumu par esošo ievainojamību pārsteidza tīmekļa drošības konsultantu. Atbildi par iespēju nopludināt draugu sarakstus pētnieks saņēma pēc nepilnas nedēļas, 12.oktobrī. IT eksperti kļūdu ir novērsuši 14. oktobrī un bloķējuši baltā saraksta mehānisma apiešanu 2017. gada 17. oktobrī.
Savukārt atbilde uz ziņojumu par kredītkartes informācijas noplūdi saņemta pēc nepilnām 40 minūtēm un ievainojamība novērsta pēc 4 stundām un 13 minūtēm.