Консультант із веб-безпеки виявив уразливість Facebook, яка виявила списки друзів та облікові дані
Facebook є однією з найбільш широко використовуваних соціальних мереж в Інтернеті, а консультант із веб-безпеки Дж. Franjkovic, 6 жовтня 2017 року виявив масову вразливість, яка відкриває списки друзів, незважаючи на налаштування конфіденційності користувача. Це означає, що будь-який хакер може обійти систему і побачити всіх друзів будь-якого користувача Facebook.
Крім того, раніше дослідник також виявив помилку Facebook, яка дозволяє отримувати різні дані платіжних карток, якими користуються люди в платформі соціальних мереж. Уразливість була виявлена 23 лютого 2017 року і допомогла досліднику отримати облікові дані будь-якого користувача Facebook.
Помилка Facebook виявила перші шість цифр картки, які допомагають ідентифікувати банк, який її надав[1]. Також консультанту з безпеки вдалося отримати останні чотири цифри платіжної картки, ім’я власника картки, тип картки, поштовий індекс, країну, місяць і дату закінчення терміну дії.
Дослідник обійшов механізм внесення в білий список
Дж. Franjkovic сказав, що є спосіб розкрити список друзів за допомогою GraphQL[2] запити та токен клієнта[3] із програм, розроблених Facebook. Досліднику вдалося обійти механізм білого списку, використовуючи «doc_id» замість «query_id» і access_token з програми Facebook для Android.
Після внесення до білого списку[4] механізм був обійтий, Дж. Franjkovic надіслав запити GraphQL. У той час як більшість із них розкрили лише дані, які вже є загальнодоступними, CSPlaygroundGraphQLFriendsQuery розкрив прихований список друзів будь-якого користувача Facebook, чий ідентифікатор був включений.
Подібно до останньої помилки, ще одна була пов’язана з GraphQL і допомогла отримати дані кредитної картки. Дослідник також використав ідентифікатор користувача з облікового запису жертви у Facebook та access_token, який можна взяти з програми Facebook для Android.
Дж. Franjkovic описує цю вразливість у Facebook як хрестоматійний приклад небезпечної помилки прямого посилання на об’єкт, також відомої як IDOR.[5]:
Це хрестоматійний приклад небезпечної помилки прямого посилання на об’єкт (IDOR).
Facebook виправив помилку протягом кількох годин
Реакція команди Facebook на повідомлення про наявну вразливість здивувала консультанта з веб-безпеки. Відповідь про можливість витоку списків друзів дослідник отримав менше ніж за тиждень, 12 жовтня. ІТ-експерти виправили помилку 14 жовтня і заблокували обхід механізму внесення в білий список 17 жовтня 2017 року.
Тоді як відповідь на повідомлення про витік інформації про кредитну картку надійшла менше ніж за 40 хвилин, а уразливість було усунено через 4 години 13 хвилин.