Консултант за веб безбедност открио је рањивост на Фејсбуку откривајући листе пријатеља и акредитиве
Фацебоок је једна од најчешће коришћених платформи друштвених медија на Интернету и консултант за веб безбедност, Ј. Фрањковић, 6. октобра 2017. открио је огромну рањивост која открива листе пријатеља упркос подешавањима приватности корисника. То значи да сваки хакер може заобићи систем и видети све пријатеље било ког корисника Фејсбука.
Поред тога, раније је истраживач такође пронашао грешку на Фејсбуку која омогућава добијање различитих детаља о платним картицама које користе људи на платформи друштвених мрежа. Рањивост је откривена 23. фебруара 2017. године и помогла је истраживачу да добије акредитиве било ког корисника на Фејсбуку.
Грешка на Фејсбуку открила је првих шест цифара картице које помажу у идентификацији банке која ју је дала[1]. Такође, консултант за безбедност је успео да добије последње четири цифре платне картице, име власника картице, тип картице, поштански број, земљу, месец и датум истека.
Истраживач је заобишао механизам стављања на белу листу
Ј. Фрањковић је рекао да постоји начин да се листа пријатеља открије коришћењем ГрапхКЛ-а[2] упите и токен клијента[3] из апликација које је развио Фацебоок. Истраживач је успео да заобиђе механизам беле листе користећи „доц_ид“ уместо „куери_ид“ и аццесс_токен из апликације Фацебоок за Андроид.
Једном на белу листу[4] механизам је заобиђен, Ј. Фрањковић је слао ГрапхКЛ упите. Док је већина њих открила само податке који су већ јавни, ЦСПлаигроундГрапхКЛФриендсКуери је разоткрио скривену листу пријатеља било ког корисника на Фејсбуку чији је ИД био укључен.
Слично последњој грешци, још једна је такође била повезана са ГрапхКЛ-ом и помогла је да се добију детаљи о кредитној картици. Истраживач је такође користио ИД корисника са Фацебоок налога жртве и аццесс_токен који се може преузети из Фацебоок апликације за Андроид.
Ј. Фрањковић описује ову рањивост на Фејсбуку као школски пример несигурне грешке директног референцирања објекта, такође познате као ИДОР[5]:
Ово је пример из уџбеника небезбедне грешке директне референце објекта (ИДОР).
Фацебоок је исправио грешку у року од неколико сати
Реакција Фејсбук тима на извештај о постојећој рањивости изненадила је консултанта за веб безбедност. Одговор о могућности цурења спискова пријатеља истраживач је добио након мање од недељу дана, 12. октобра. ИТ стручњаци су исправили грешку 14. октобра и блокирали заобилажење механизма беле листе 17. октобра 2017.
Док је одговор на пријаву о цурењу информација о кредитној картици примљен након мање од 40 минута, а рањивост је елиминисана након 4 сата и 13 минута.