Konsultant ds. bezpieczeństwa sieci odkrył lukę w zabezpieczeniach Facebooka, która ujawnia listy znajomych i dane uwierzytelniające
Facebook jest jedną z najczęściej używanych platform mediów społecznościowych w Internecie i konsultantem ds. bezpieczeństwa sieci, J. Franjkovic wykrył ogromną lukę w zabezpieczeniach 6 października 2017 r., która ujawnia listy znajomych pomimo ustawień prywatności użytkownika. Oznacza to, że każdy haker może obejść system i zobaczyć wszystkich znajomych dowolnego użytkownika Facebooka.
Dodatkowo, wcześniej badacz znalazł również błąd Facebooka, który pozwalał na uzyskanie różnych szczegółów kart płatniczych używanych przez osoby na platformie społecznościowej. Luka została odkryta 23 lutego 2017 r. i pomogła badaczowi uzyskać dane uwierzytelniające dowolnego użytkownika Facebooka.
Błąd Facebooka ujawnił pierwsze sześć cyfr karty, które pomagają zidentyfikować bank, który ją dostarczył[1]. Konsultantowi ds. bezpieczeństwa udało się również uzyskać cztery ostatnie cyfry karty płatniczej, imię posiadacza karty, typ karty, kod pocztowy, kraj, miesiąc i datę ważności karty.
Badacz ominął mechanizm białej listy
J. Franjkovic powiedział, że istnieje sposób na ujawnienie listy znajomych za pomocą GraphQL[2] zapytania i token klienta[3] z aplikacji stworzonych przez Facebooka. Badaczowi udało się ominąć mechanizm białej listy, używając „doc_id” zamiast „query_id” i access_token z aplikacji Facebook na Androida.
Po dodaniu białej listy[4] mechanizm został ominięty, J. Franjkovic wysłał zapytania GraphQL. Podczas gdy większość z nich ujawniła tylko dane, które są już publiczne, CSPlaygroundGraphQLFriendsQuery ujawniło ukrytą listę znajomych każdego użytkownika na Facebooku, którego identyfikator został dołączony.
Podobnie jak w przypadku tego ostatniego, inny błąd był również związany z GraphQL i pomógł uzyskać dane karty kredytowej. Badacz wykorzystał również identyfikator użytkownika z konta ofiary na Facebooku oraz access_token, który można pobrać z aplikacji Facebook na Androida.
J. Franjkovic opisuje tę lukę w zabezpieczeniach Facebooka jako podręcznikowy przykład niezabezpieczonego błędu odniesienia do obiektu bezpośredniego, znanego również jako IDOR[5]:
To jest podręcznikowy przykład niepewnego błędu bezpośredniego odwołania do obiektu (IDOR).
Facebook naprawił błąd w ciągu kilku godzin
Reakcja zespołu Facebooka na raport o istniejącej luce zaskoczyła konsultanta ds. bezpieczeństwa sieci. Badacz otrzymał odpowiedź o możliwości wycieku list znajomych po niecałym tygodniu, 12 października. Eksperci IT naprawili błąd 14 października i zablokowali obejście mechanizmu białej listy 17 października 2017 r.
Natomiast odpowiedź na zgłoszenie o wycieku informacji o karcie kredytowej nadeszła po niespełna 40 minutach, a luka została usunięta po 4 godzinach i 13 minutach.