Facebook miał błąd pozwalający przejąć każdy fanpage
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Przez długie miesiące każdy użytkownik Facebooka mógł stać się właścicielem dowolnego z cudzych fanpage'y – wynika z raportu badacza Marcosa Ferreiry. Wszystko za sprawą prostego błędu w strukturze zapytań GraphQL. Specjalista odnalazł podatność i powiadomił o niej przedsiębiorstwo. Za swoje odkrycie otrzymał 15 tys. dol. nagrody.
Ferreira wykrył, że jeśli w zakładce do zmiany adresu URL własnego fanpage'a przechwyci się żądanie HTTP i poda page_id strony atakowanej, to Facebook przekieruje stronę-ofiarę na adres facebook.com/TEST123456. Jednocześnie pierwotny URL zostanie udostępniony do wykorzystania, przez co napastnik, mówiąc kolokwialnie, może po prostu ukraść adres.
Spreparowana w ten sposób strona nie pozwalała wprawdzie wykraść żadnych danych, czy to listy fanów czy wiadomości prywatnych, ale mogła posłużyć do podszycia się pod inny podmiot lub osobę. W końcu wyświetlała się pod znanym i teoretycznie prawdziwym URL-em.
Co warte podkreślenia, błąd występował jedynie w nowym interfejsie Facebooka. Jak ustalił Ferreira, starszy wygląd nie był nim dotknięty. Przy czym w tej chwili został już załatany, a badacz za swoje znalezisko został uhonorowany nagrodą pieniężną. Pozostaje tym samym ciekawostką, choć trochę straszną z uwagi na potencjalne konsekwencje wykorzystania.