Bug do Facebook expôs detalhes de cartões de pagamento e listas de amigos

O consultor de segurança da Web descobriu a vulnerabilidade do Facebook, descobrindo listas de amigos e credenciais

A vulnerabilidade do Facebook já foi corrigida

O Facebook é uma das plataformas de mídia social mais usadas na Internet e um consultor de segurança da web, J. Franjkovic detectou uma enorme vulnerabilidade em 6 de outubro de 2017, que expõe listas de amigos, apesar das configurações de privacidade do usuário. Isso significa que qualquer hacker pode burlar o sistema e ver todos os amigos de qualquer usuário do Facebook.

Além disso, anteriormente, o pesquisador também encontrou um bug no Facebook que permite obter vários detalhes de cartões de pagamento usados ​​por pessoas na plataforma de rede social. A vulnerabilidade foi descoberta em 23 de fevereiro de 2017 e ajudou o pesquisador a receber as credenciais de qualquer usuário do Facebook.

A falha do Facebook expôs os primeiros seis dígitos do cartão, que ajudam a identificar o banco que o forneceu[1]. Além disso, o consultor de segurança conseguiu obter os últimos quatro dígitos do cartão de pagamento, nome do titular do cartão, tipo de cartão, CEP, país, mês de validade e data.

O pesquisador ignorou o mecanismo de lista de permissões

J. Franjkovic disse que existe uma maneira de divulgar a lista de amigos usando GraphQL[2] consultas e token do cliente[3] de aplicativos desenvolvidos pelo Facebook. O pesquisador conseguiu contornar o mecanismo de whitelisting usando “doc_id” em vez de “query_id” e o access_token do Facebook para aplicativo Android.

Uma vez que a lista de permissões[4] mecanismo foi contornado, J. Franjkovic enviou consultas GraphQL. Enquanto a maioria deles revelou apenas os dados que já são públicos, CSPlaygroundGraphQLFriendsQuery expôs a lista de amigos ocultos de qualquer usuário do Facebook cujo ID foi incluído.

Semelhante ao último bug, outro também estava relacionado ao GraphQL e ajudou a obter os detalhes do cartão de crédito. O pesquisador também usou o ID do usuário da conta do Facebook da vítima e o access_token que pode ser obtido do aplicativo do Facebook para Android.

J. Franjkovic descreve esta vulnerabilidade do Facebook como um exemplo clássico de um bug inseguro de referência direta a objetos, também conhecido como IDOR[5]:

Este é um exemplo clássico de um bug inseguro de referência direta a objetos (IDOR).

O Facebook corrigiu o bug em várias horas

A reação da equipe do Facebook ao relatório sobre a vulnerabilidade existente surpreendeu o consultor de segurança da web. O pesquisador recebeu resposta sobre a possibilidade de vazar listas de amigos em menos de uma semana, no dia 12 de outubro. Especialistas em TI corrigiram o bug em 14 de outubro e bloquearam o mecanismo de desvio do mecanismo de lista de permissões em 17 de outubro de 2017.

Enquanto a resposta ao relatório sobre vazamento de informações de cartão de crédito foi recebida após menos de 40 minutos e a vulnerabilidade foi eliminada após 4 horas e 13 minutos.