Consultantul de securitate web a descoperit o vulnerabilitate Facebook care descoperă liste de prieteni și acreditări
Facebook este una dintre cele mai utilizate platforme de social media de pe Internet și un consultant de securitate web, J. Franjkovic, a detectat o vulnerabilitate masivă pe 6 octombrie 2017, care expune listele de prieteni în ciuda setărilor de confidențialitate ale utilizatorului. Înseamnă că orice hacker poate ocoli sistemul și poate vedea toți prietenii oricărui utilizator Facebook.
În plus, mai devreme, cercetătorul a găsit și o eroare Facebook care permite obținerea diferitelor detalii despre cardurile de plată folosite de oamenii de pe platforma de socializare. Vulnerabilitatea a fost descoperită pe 23 februarie 2017 și l-a ajutat pe cercetător să primească acreditările oricărui utilizator de pe Facebook.
Defectul Facebook a expus primele șase cifre ale cardului, care ajută la identificarea băncii care l-a furnizat[1]. De asemenea, consultantul de securitate a reușit să obțină și ultimele patru cifre ale cardului de plată, prenumele titularului cardului, tipul cardului, codul poștal, țara, luna și data expirării.
Cercetătorul a ocolit mecanismul de înscriere în lista albă
J. Franjkovic a spus că există o modalitate de a dezvălui lista de prieteni folosind GraphQL[2] interogări și simbolul clientului[3] din aplicațiile dezvoltate de Facebook. Cercetătorul a reușit să ocolească mecanismul de înscriere în lista albă folosind „doc_id” în loc de „query_id” și access_token-ul din aplicația Facebook pentru Android.
Odată cu lista albă[4] mecanismul a fost ocolit, J. Franjkovic a trimis interogări GraphQL. În timp ce majoritatea dintre ei au dezvăluit doar datele care sunt deja publice, CSPlaygroundGraphQLFriendsQuery a expus lista de prieteni ascunse a oricărui utilizator de pe Facebook al cărui ID a fost inclus.
Similar cu cel din urmă bug, un altul a fost, de asemenea, legat de GraphQL și a ajutat la obținerea detaliilor cardului de credit. Cercetatorul a folosit, de asemenea, ID-ul utilizatorului din contul de Facebook al victimei și access_token-ul care poate fi preluat din aplicația Facebook pentru Android.
J. Franjkovic descrie această vulnerabilitate Facebook ca un exemplu de manual al unei erori de referință directă a obiectelor nesigure, cunoscută și sub numele de IDOR[5]:
Acesta este un exemplu de manual al unei erori de referință directă a obiectelor nesigure (IDOR).
Facebook a remediat eroarea în câteva ore
Reacția echipei Facebook la raportul despre vulnerabilitatea existentă l-a surprins pe consultantul de securitate web. Cercetătorul a primit un răspuns despre posibilitatea de a scurge liste de prieteni după mai puțin de o săptămână, pe 12 octombrie. Experții IT au remediat eroarea pe 14 octombrie și au blocat ocolirea mecanismului de înscriere pe lista albă pe 17 octombrie 2017.
În timp ce răspunsul la raportul despre scurgerea informațiilor despre cardul de credit a fost primit după mai puțin de 40 de minute, iar vulnerabilitatea a fost eliminată după 4 ore și 13 minute.