Webbsäkerhetskonsult hittade Facebooks sårbarhet som avslöjade vänlistor och referenser
Facebook är en av de mest använda sociala medieplattformarna på Internet och en webbsäkerhetskonsult, J. Franjkovic, har upptäckt en massiv sårbarhet den 6 oktober 2017, som avslöjar vänlistor trots användarens integritetsinställningar. Det betyder att vilken hackare som helst kan kringgå systemet och se alla vänner till alla Facebook-användare.
Dessutom, tidigare har forskaren också hittat en Facebook-bugg som gör det möjligt att få olika detaljer om betalkort som används av människor på den sociala nätverksplattformen. Sårbarheten upptäcktes den 23 februari 2017 och hjälpte forskaren att ta emot referenserna för alla användare på Facebook.
Facebook-fel avslöjade de första sex siffrorna i kortet som hjälper till att identifiera banken som har tillhandahållit det[1]. Säkerhetskonsulten lyckades också få fram de fyra sista siffrorna i betalkortet, kortinnehavarens förnamn, korttyp, postnummer, land, utgångsmånad och datum.
Forskaren gick förbi vitlistningsmekanismen
J. Franjkovic sa att det finns ett sätt att avslöja vänlistan genom att använda GraphQL[2] frågor och kundens token[3] från Facebook-utvecklade applikationer. Forskaren lyckades kringgå vitlistningsmekanismen genom att använda "doc_id" istället för "query_id" och access_token från Facebook för Android-appen.
En gång vitlistan[4] mekanism kringgicks, J. Franjkovic skickade GraphQL-frågor. Medan de flesta av dem endast avslöjade data som redan är offentliga, avslöjade CSPlaygroundGraphQLFriendsQuery den dolda vänlistan för alla användare på Facebook vars ID ingick.
I likhet med det senare felet var en annan också relaterad till GraphQL och hjälpte till att få kreditkortsuppgifter. Forskaren använde också användar-ID från offrets Facebook-konto och access_token som kan hämtas från Facebook-appen för Android.
J. Franjkovic beskriver denna Facebook-sårbarhet som ett läroboksexempel på en osäker direkt objektreferensbugg, även känd som IDOR[5]:
Detta är ett läroboksexempel på en osäker direkt objektreferensbugg (IDOR).
Facebook fixade felet inom flera timmar
Facebook-teamets reaktion på rapporten om den befintliga sårbarheten överraskade webbsäkerhetskonsulten. Forskaren fick svar om möjligheten att läcka vänlistor efter mindre än en vecka, den 12 oktober. IT-experter har åtgärdat felet den 14 oktober och blockerade förbikopplingen av vitlistningsmekanismen den 17 oktober 2017.
Medan svaret på rapporten om kreditkortsinformationsläcka mottogs efter mindre än 40 minuter och sårbarheten eliminerades efter 4 timmar och 13 minuter.