Webbeveiligingsadviseur ontdekte kwetsbaarheid in Facebook door vriendenlijsten en inloggegevens bloot te leggen
Facebook is een van de meest gebruikte sociale-mediaplatforms op internet en een webbeveiligingsadviseur, J. Franjkovic heeft op 6 oktober 2017 een enorme kwetsbaarheid ontdekt die vriendenlijsten blootlegt ondanks de privacy-instellingen van de gebruiker. Het betekent dat elke hacker het systeem kan omzeilen en alle vrienden van elke Facebook-gebruiker kan zien.
Bovendien heeft de onderzoeker eerder ook een Facebook-bug gevonden die het mogelijk maakt om verschillende details te verkrijgen van betaalkaarten die worden gebruikt door mensen op het sociale netwerkplatform. Het beveiligingslek werd ontdekt op 23 februari 2017 en hielp de onderzoeker om de inloggegevens van elke gebruiker op Facebook te ontvangen.
Facebook-fout onthulde de eerste zes cijfers van de kaart die helpen bij het identificeren van de bank die deze heeft verstrekt[1]. Ook slaagde de beveiligingsadviseur erin om de laatste vier cijfers van de betaalkaart, de voornaam van de kaarthouder, het kaarttype, de postcode, het land, de vervalmaand en de datum te achterhalen.
De onderzoeker heeft het whitelisting-mechanisme omzeild
J. Franjkovic zei dat er een manier is om de vriendenlijst openbaar te maken met GraphQL[2] query's en het token van de klant[3] van door Facebook ontwikkelde applicaties. De onderzoeker slaagde erin om het whitelisting-mechanisme te omzeilen door "doc_id" te gebruiken in plaats van "query_id" en de access_token van de Facebook voor Android-app.
Zodra de witte lijst[4] mechanisme werd omzeild, J. Franjkovic stuurde GraphQL-query's. Terwijl de meeste van hen alleen de gegevens onthulden die al openbaar zijn, onthulde CSPlaygroundGraphQLFriendsQuery de verborgen vriendenlijst van elke gebruiker op Facebook wiens ID was opgenomen.
Net als bij de laatste bug, was een andere ook gerelateerd aan GraphQL en hielp bij het verkrijgen van creditcardgegevens. De onderzoeker gebruikte ook de gebruikers-ID van het Facebook-account van het slachtoffer en de access_token die uit de Facebook-app voor Android kan worden gehaald.
J. Franjkovic beschrijft deze kwetsbaarheid op Facebook als een schoolvoorbeeld van een onveilige directe objectreferentiebug, ook bekend als IDOR[5]:
Dit is een schoolvoorbeeld van een onveilige direct object reference bug (IDOR).
Facebook heeft de bug binnen enkele uren verholpen
De reactie van het Facebook-team op het rapport over de bestaande kwetsbaarheid verraste de webbeveiligingsadviseur. De onderzoeker kreeg op 12 oktober een reactie over de mogelijkheid om vriendenlijsten te lekken na minder dan een week. IT-experts hebben de bug op 14 oktober opgelost en de bypass van het whitelisting-mechanisme op 17 oktober 2017 geblokkeerd.
Terwijl de reactie op het rapport over het lekken van creditcardgegevens na minder dan 40 minuten werd ontvangen en de kwetsbaarheid na 4 uur en 13 minuten was verholpen.