Svetovalec za spletno varnost je odkril ranljivost Facebooka, ki je razkrila sezname prijateljev in poverilnice
Facebook je ena najbolj razširjenih platform družbenih medijev na internetu in svetovalec za spletno varnost, J. Franjkoviča, je 6. oktobra 2017 zaznal veliko ranljivost, ki kljub nastavitvam zasebnosti uporabnika razkrije sezname prijateljev. To pomeni, da lahko vsak heker zaobide sistem in vidi vse prijatelje katerega koli uporabnika Facebooka.
Poleg tega je raziskovalec prej našel tudi napako na Facebooku, ki omogoča pridobivanje različnih podrobnosti o plačilnih karticah, ki jih uporabljajo ljudje na platformi družbenih omrežij. Ranljivost je bila odkrita 23. februarja 2017 in je raziskovalcu pomagala prejeti poverilnice katerega koli uporabnika na Facebooku.
Facebookova napaka je razkrila prvih šest števk kartice, ki pomagajo identificirati banko, ki jo je zagotovila[1]. Varnostnemu svetovalcu je uspelo pridobiti tudi zadnje štiri števke plačilne kartice, ime imetnika kartice, vrsto kartice, poštno številko, državo, mesec veljavnosti in datum.
Raziskovalec je zaobšel mehanizem dodajanja na seznam dovoljenih
J. Franjkovič je dejal, da obstaja način za razkritje seznama prijateljev z uporabo GraphQL[2] poizvedbe in odjemalčev žeton[3] iz aplikacij, ki jih je razvil Facebook. Raziskovalcu je uspelo zaobiti mehanizem dodajanja na seznam dovoljenih z uporabo »doc_id« namesto »query_id« in access_token iz aplikacije Facebook za Android.
Enkrat na seznam belih[4] mehanizem je bil zaobšel, J. Franjkovic je poslal poizvedbe GraphQL. Medtem ko je večina od njih razkrila le podatke, ki so že javni, je CSPlaygroundGraphQLFriendsQuery razkril skriti seznam prijateljev katerega koli uporabnika na Facebooku, katerega ID je bil vključen.
Podobno kot pri zadnji napaki je bila še ena povezana tudi z GraphQL in je pomagala pridobiti podatke o kreditni kartici. Raziskovalec je uporabil tudi ID uporabnika iz Facebook računa žrtve in access_token, ki ga je mogoče vzeti iz aplikacije Facebook za Android.
J. Franjkovič opisuje to ranljivost Facebooka kot učbeniški primer nezaščitene neposredne referenčne napake na objekt, znane tudi kot IDOR[5]:
To je učbeniški primer nezaščitene neposredne referenčne napake na objekt (IDOR).
Facebook je napako odpravil v nekaj urah
Reakcija Facebook ekipe na poročilo o obstoječi ranljivosti je presenetila svetovalca za spletno varnost. Raziskovalec je prejel odgovor o možnosti puščanja seznamov prijateljev po manj kot enem tednu, 12. oktobra. Strokovnjaki za IT so napako odpravili 14. oktobra in 17. oktobra 2017 blokirali obhod mehanizma za uvrščanje na seznam dovoljenih.
Medtem ko je bil odgovor na poročilo o puščanju podatkov o kreditni kartici prejet po manj kot 40 minutah, ranljivost pa je bila odpravljena po 4 urah in 13 minutah.