Chyba Facebooku odhalila podrobnosti o platobnej karte a zoznamy priateľov

Konzultant pre webovú bezpečnosť zistil zraniteľnosť Facebooku pri odhaľovaní zoznamov priateľov a poverení

Zraniteľnosť Facebooku je už opravená

Facebook je jednou z najpoužívanejších platforiem sociálnych médií na internete a konzultant pre webovú bezpečnosť J. Franjkovic, 6. októbra 2017 zistil rozsiahlu zraniteľnosť, ktorá odhaľuje zoznamy priateľov napriek nastaveniam súkromia používateľa. Znamená to, že každý hacker môže obísť systém a vidieť všetkých priateľov ktoréhokoľvek používateľa Facebooku.

Okrem toho výskumník už skôr objavil chybu na Facebooku, ktorá umožňuje získať rôzne podrobnosti o platobných kartách, ktoré ľudia používajú na platforme sociálnych sietí. Zraniteľnosť bola objavená 23. februára 2017 a pomohla výskumníkovi získať prihlasovacie údaje akéhokoľvek používateľa na Facebooku.

Chyba Facebooku odhalila prvých šesť číslic karty, ktoré pomáhajú identifikovať banku, ktorá kartu poskytla[1]. Bezpečnostnému konzultantovi sa podarilo získať aj posledné štyri číslice platobnej karty, krstné meno držiteľa karty, typ karty, PSČ, krajinu, mesiac platnosti a dátum.

Výskumník obišiel mechanizmus bielenia

J. Franjkovic povedal, že existuje spôsob, ako zverejniť zoznam priateľov pomocou GraphQL[2] dopytov a token klienta[3] z aplikácií vyvinutých na Facebooku. Výskumníkovi sa podarilo obísť mechanizmus pridávania na bielu listinu použitím „doc_id“ namiesto „query_id“ a access_token z aplikácie Facebook pre Android.

Po zaradení na bielu listinu[4] mechanizmus bol obídený, J. Franjkovič poslal GraphQL otázky. Zatiaľ čo väčšina z nich odhalila iba údaje, ktoré sú už verejné, CSPlaygroundGraphQLFriendsQuery odhalil skrytý zoznam priateľov každého používateľa na Facebooku, ktorého ID bolo zahrnuté.

Podobne ako pri poslednej chybe, aj ďalšia sa týkala GraphQL a pomohla získať podrobnosti o kreditnej karte. Výskumník tiež použil ID používateľa z účtu obete na Facebooku a access_token, ktorý možno získať z aplikácie Facebook pre Android.

J. Franjkovič popisuje túto zraniteľnosť Facebooku ako učebnicový príklad nezabezpečenej chyby priameho odkazu na objekt, známej tiež ako IDOR.[5]:

Toto je učebnicový príklad chyby s nezabezpečeným priamym odkazom na objekt (IDOR).

Facebook chybu opravil v priebehu niekoľkých hodín

Reakcia tímu Facebooku na správu o existujúcej zraniteľnosti konzultanta pre webovú bezpečnosť prekvapila. Výskumník dostal odpoveď o možnosti úniku zoznamov priateľov po necelom týždni, 12. októbra. IT experti opravili chybu 14. októbra a zablokovali obídenie mechanizmu whitelistingu 17. októbra 2017.

Zatiaľ čo odpoveď na správu o úniku informácií o kreditnej karte bola prijatá po menej ako 40 minútach a zraniteľnosť bola odstránená po 4 hodinách a 13 minútach.