Web güvenlik danışmanı, arkadaş listelerini ve kimlik bilgilerini ortaya çıkaran Facebook güvenlik açığı buldu
Facebook, İnternette en çok kullanılan sosyal medya platformlarından biridir ve bir web güvenlik danışmanı olan J. Franjkovic, 6 Ekim 2017'de, kullanıcının gizlilik ayarlarına rağmen arkadaş listelerini açığa çıkaran büyük bir güvenlik açığı tespit etti. Bu, herhangi bir bilgisayar korsanının sistemi aşabileceği ve herhangi bir Facebook kullanıcısının tüm arkadaşlarını görebileceği anlamına gelir.
Ek olarak, daha önce araştırmacı, sosyal ağ platformunda insanlar tarafından kullanılan ödeme kartlarının çeşitli ayrıntılarını elde etmeye izin veren bir Facebook hatası da buldu. Güvenlik açığı 23 Şubat 2017'de keşfedildi ve araştırmacının Facebook'taki herhangi bir kullanıcının kimlik bilgilerini almasına yardımcı oldu.
Facebook kusuru, kartı sağlayan bankanın belirlenmesine yardımcı olan kartın ilk altı hanesini ortaya çıkardı[1]. Ayrıca güvenlik danışmanı, ödeme kartının son dört hanesini, kart sahibinin adını, kart türünü, posta kodunu, ülkesini, son kullanma ayı ve tarihini de almayı başardı.
Araştırmacı, beyaz listeye alma mekanizmasını atladı
J. Franjkovic, GraphQL kullanarak arkadaş listesini ifşa etmenin bir yolu olduğunu söyledi.[2] sorgular ve müşterinin belirteci[3] Facebook tarafından geliştirilen uygulamalardan. Araştırmacı, "query_id" yerine "doc_id" ve Android için Facebook'tan access_token kullanarak beyaz liste mekanizmasını atlamayı başardı.
Beyaz listeye alındıktan sonra[4] mekanizma atlatıldı, J. Franjkovic, GraphQL sorguları gönderdi. Çoğu yalnızca zaten herkese açık olan verileri ortaya çıkarırken, CSPlaygroundGraphQLFriendsQuery, Facebook'ta kimliği bulunan herhangi bir kullanıcının gizli arkadaş listesini ortaya çıkardı.
İkinci hataya benzer şekilde, bir diğeri de GraphQL ile ilgiliydi ve kredi kartı bilgilerinin alınmasına yardımcı oldu. Araştırmacı ayrıca kurbanın Facebook hesabındaki kullanıcı kimliğini ve Android için Facebook uygulamasından alınabilen access_token'ı kullandı.
J. Franjkovic, bu Facebook güvenlik açığını, IDOR olarak da bilinen, güvenli olmayan bir doğrudan nesne referans hatasının ders kitabı örneği olarak tanımlıyor.[5]:
Bu, güvenli olmayan bir doğrudan nesne referans hatasının (IDOR) bir ders kitabı örneğidir.
Facebook hatayı birkaç saat içinde düzeltti
Facebook ekibinin mevcut güvenlik açığıyla ilgili rapora tepkisi web güvenlik danışmanını şaşırttı. Araştırmacı, 12 Ekim'de bir haftadan kısa bir süre sonra arkadaş listelerini sızdırma olasılığı hakkında bir yanıt aldı. BT uzmanları hatayı 14 Ekim'de düzeltti ve 17 Ekim 2017'de beyaz listeye alma mekanizmasının geçişini engelledi.
Kredi kartı bilgi sızıntısı raporuna 40 dakikadan kısa bir sürede yanıt alınırken, güvenlik açığı 4 saat 13 dakika sonra giderildi.