Ind objevil závažnou chybu na Facebooku

Arun Sureshkumar byl přidán na seznam uživatelů, kteří objevili a upozornili Facebook na nějakou závažnou chybu a v rámci programu "bug bounty" obdrželi odměnu (v tomto případě Arun dostal 16 tisíc dolarů jako poděkování).

"Zero-day" bug umožňoval útočníkovi převzít a smazat jakoukoliv Facebookovou stránku. Stránky jsou důležité hlavně pro obchody, organizace, společnosti apod.

Služba Facebooku pro správu stránek se jmenuje Facebook Business Manager a tam lze např. přidávat nebo odebírat práva uživatelům ve věci správy stránek apod.

Ke zneužití bugu v tomto případě stačily dva různé Facebook Business účty a znát jejich unikátní ID (lze ho vidět v URL stránky). Pak je nutné s jedním účtem přiřadit nějaké práva druhému účtu. HTTP Požadavek, který se pak odešle, obsahuje čtyři údaje. parent_business_id, agency_id, asset_id a role. Arun zjistil, že v nich stačí jen přepsat ID účtu a je to.

Pro lepší pochopení chyby také vzniklo video, které je však anglicky.

Arun popsal chybu Facebooku a ten ji hned další den opravil. Na Facebooku obecně bylo v poslední době nalezeno a opraveno mnoho bezpečnostních nedostatků. V dubnu například jistý Arne Swinnen objevil způsob, jak se zmocnit libovolného Instagram účtu. V únoru 2015 zase jistý Laxman Muthiyah objevil, jak smazat libovolnou fotku z Facebooku. Naštěstí všechny chyby byly doposud nalezeny lidmi, kteří měli zájem o jejich opravu. Můžeme doufat, že to tak ještě dlouho zůstane.

Zdroj: Naked Security