Nettsikkerhetskonsulent fant Facebook-sårbarhet som avdekket vennelister og legitimasjon
Facebook er en av de mest brukte sosiale medieplattformene på Internett og en nettsikkerhetskonsulent, J. Franjkovic, har oppdaget en massiv sårbarhet 6. oktober 2017, som avslører vennelister til tross for personverninnstillingene til brukeren. Det betyr at enhver hacker kan omgå systemet og se alle venner til enhver Facebook-bruker.
I tillegg har forskeren tidligere også funnet en Facebook-feil som gjør det mulig å få tak i ulike detaljer om betalingskort som brukes av folk på den sosiale nettverksplattformen. Sårbarheten ble oppdaget 23. februar 2017, og hjalp forskeren med å motta legitimasjonen til enhver bruker på Facebook.
Facebook-feilen avslørte de første seks sifrene på kortet som hjelper til med å identifisere banken som har levert det[1]. Sikkerhetskonsulenten klarte også å få tak i de fire siste sifrene på betalingskortet, kortinnehaverens fornavn, korttype, postnummer, land, utløpsmåned og -dato.
Forskeren omgikk hvitelistemekanismen
J. Franjkovic sa at det er en måte å avsløre vennelisten ved å bruke GraphQL[2] forespørsler og klientens token[3] fra Facebook-utviklede applikasjoner. Forskeren klarte å omgå hvitelistemekanismen ved å bruke "doc_id" i stedet for "query_id" og access_token fra Facebook for Android-appen.
Når hvitelisten[4] mekanismen ble omgått, J. Franjkovic sendte GraphQL-spørringer. Mens de fleste av dem bare avslørte dataene som allerede er offentlige, avslørte CSPlaygroundGraphQLFriendsQuery den skjulte vennelisten til alle brukere på Facebook hvis ID var inkludert.
I likhet med sistnevnte feil var en annen også relatert til GraphQL og hjalp til med å få kredittkortdetaljer. Forskeren brukte også bruker-ID fra offerets Facebook-konto og access_token som kan hentes fra Facebook-appen for Android.
J. Franjkovic beskriver denne Facebook-sårbarheten som et lærebokeksempel på en usikker direkte objektreferansefeil, også kjent som IDOR[5]:
Dette er et lærebokeksempel på en usikker direkte objektreferansefeil (IDOR).
Facebook fikset feilen innen flere timer
Facebook-teamets reaksjon på rapporten om den eksisterende sårbarheten overrasket nettsikkerhetskonsulenten. Forskeren fikk svar om muligheten for å lekke vennelister etter mindre enn en uke, 12. oktober. IT-eksperter har fikset feilen 14. oktober og blokkert omgåelsen av hvitelistemekanismen 17. oktober 2017.
Mens svaret på rapporten om kredittkortinformasjonslekkasje ble mottatt etter mindre enn 40 minutter og sårbarheten ble eliminert etter 4 timer og 13 minutter.