บั๊ก Facebook เปิดเผยรายละเอียดบัตรชำระเงินและรายชื่อเพื่อน

ที่ปรึกษาด้านความปลอดภัยเว็บพบช่องโหว่ Facebook เปิดเผยรายชื่อเพื่อนและข้อมูลประจำตัว

ช่องโหว่ Facebook ได้รับการแก้ไขแล้ว

Facebook เป็นหนึ่งในแพลตฟอร์มโซเชียลมีเดียที่ใช้กันอย่างแพร่หลายมากที่สุดบนอินเทอร์เน็ตและที่ปรึกษาด้านความปลอดภัยของเว็บ J. Franjkovic ตรวจพบช่องโหว่ขนาดใหญ่เมื่อวันที่ 6 ตุลาคม 2017 ซึ่งเปิดเผยรายชื่อเพื่อนแม้จะมีการตั้งค่าความเป็นส่วนตัวของผู้ใช้ หมายความว่าแฮ็กเกอร์คนใดก็ได้สามารถหลบเลี่ยงระบบและเห็นเพื่อนทั้งหมดของผู้ใช้ Facebook ทุกคน

นอกจากนี้ ก่อนหน้านี้ ผู้วิจัยยังพบข้อบกพร่องของ Facebook ที่ทำให้สามารถรับรายละเอียดต่างๆ ของบัตรชำระเงินที่ผู้คนใช้บนแพลตฟอร์มโซเชียลเน็ตเวิร์กได้ ช่องโหว่นี้ถูกค้นพบเมื่อวันที่ 23 กุมภาพันธ์ 2017 และช่วยให้ผู้วิจัยได้รับข้อมูลประจำตัวของผู้ใช้บน Facebook

ข้อบกพร่อง Facebook เปิดเผยตัวเลขหกหลักแรกของบัตรซึ่งช่วยระบุธนาคารที่ให้มา[1]. นอกจากนี้ ที่ปรึกษาด้านความปลอดภัยยังจัดการเพื่อให้ได้ตัวเลขสี่หลักสุดท้ายของบัตรชำระเงิน ชื่อผู้ถือบัตร ประเภทบัตร รหัสไปรษณีย์ ประเทศ เดือนหมดอายุและวันที่หมดอายุด้วย

ผู้วิจัยเลี่ยงกลไกการอนุญาตพิเศษ

เจ Franjkovic กล่าวว่ามีวิธีเปิดเผยรายชื่อเพื่อนโดยใช้ GraphQL

[2] แบบสอบถามและโทเค็นของลูกค้า[3] จากแอพพลิเคชั่นที่พัฒนาโดย Facebook ผู้วิจัยสามารถเลี่ยงกลไกการอนุญาตพิเศษโดยใช้ “doc_id” แทน “query_id” และ access_token จากแอพ Facebook สำหรับ Android

เมื่อไวท์ลิสต์[4] กลไกถูกหลีกเลี่ยง J. Franjkovic ส่งข้อความค้นหา GraphQL ในขณะที่ส่วนใหญ่เปิดเผยเฉพาะข้อมูลที่เปิดเผยต่อสาธารณะแล้ว CSPlaygroundGraphQLFriendsQuery เปิดเผยรายชื่อเพื่อนที่ซ่อนอยู่ของผู้ใช้บน Facebook ที่มี ID รวมอยู่ด้วย

เช่นเดียวกับบั๊กหลัง อีกอันหนึ่งเกี่ยวข้องกับ GraphQL และช่วยในการรับรายละเอียดบัตรเครดิต ผู้วิจัยยังใช้ ID ของผู้ใช้จากบัญชี Facebook ของเหยื่อและ access_token ซึ่งสามารถนำมาจากแอพ Facebook สำหรับ Android

เจ Franjkovic อธิบายช่องโหว่บน Facebook นี้ว่าเป็นตัวอย่างหนังสือเรียนเกี่ยวกับจุดบกพร่องในการอ้างอิงวัตถุโดยตรงที่ไม่ปลอดภัย หรือที่เรียกว่า IDOR[5]:

นี่เป็นตัวอย่างหนังสือเรียนเกี่ยวกับจุดบกพร่องในการอ้างอิงวัตถุโดยตรงที่ไม่ปลอดภัย (IDOR)

Facebook แก้ไขข้อผิดพลาดภายในไม่กี่ชั่วโมง

ปฏิกิริยาของทีม Facebook ต่อรายงานเกี่ยวกับช่องโหว่ที่มีอยู่ทำให้ที่ปรึกษาด้านความปลอดภัยของเว็บประหลาดใจ นักวิจัยได้รับคำตอบเกี่ยวกับความเป็นไปได้ที่จะรั่วไหลรายชื่อเพื่อนหลังจากผ่านไปไม่ถึงหนึ่งสัปดาห์ในวันที่ 12 ตุลาคม ผู้เชี่ยวชาญด้านไอทีได้แก้ไขข้อผิดพลาดเมื่อวันที่ 14 ตุลาคม และบล็อกการเลี่ยงผ่านกลไกการอนุญาตพิเศษในวันที่ 17 ตุลาคม 2017

ในขณะที่ได้รับการตอบกลับรายงานข้อมูลบัตรเครดิตรั่วไหลออกมาภายในเวลาไม่ถึง 40 นาที และช่องโหว่ดังกล่าวก็หมดไปหลังจากผ่านไป 4 ชั่วโมง 13 นาที