Facebook miał błąd pozwalający przejąć każdy fanpage

Przez długie miesiące każdy użytkownik Facebooka mógł stać się właścicielem dowolnego z cudzych fanpage'y – wynika z raportu badacza Marcosa Ferreiry. Wszystko za sprawą prostego błędu w strukturze zapytań GraphQL. Specjalista odnalazł podatność i powiadomił o niej przedsiębiorstwo. Za swoje odkrycie otrzymał 15 tys. dol. nagrody.

Ferreira wykrył, że jeśli w zakładce do zmiany adresu URL własnego fanpage'a przechwyci się żądanie HTTP i poda page_id strony atakowanej, to Facebook przekieruje stronę-ofiarę na adres facebook.com/TEST123456. Jednocześnie pierwotny URL zostanie udostępniony do wykorzystania, przez co napastnik, mówiąc kolokwialnie, może po prostu ukraść adres.

Spreparowana w ten sposób strona nie pozwalała wprawdzie wykraść żadnych danych, czy to listy fanów czy wiadomości prywatnych, ale mogła posłużyć do podszycia się pod inny podmiot lub osobę. W końcu wyświetlała się pod znanym i teoretycznie prawdziwym URL-em.

Co warte podkreślenia, błąd występował jedynie w nowym interfejsie Facebooka. Jak ustalił Ferreira, starszy wygląd nie był nim dotknięty. Przy czym w tej chwili został już załatany, a badacz za swoje znalezisko został uhonorowany nagrodą pieniężną. Pozostaje tym samym ciekawostką, choć trochę straszną z uwagi na potencjalne konsekwencje wykorzystania.