Спецпроекты

ПО Безопасность Бизнес Интернет

Дыра в Facebook позволяла удалять чужие юзерпики

Баг в будущей версии дизайна Facebook позволял удалять чужие юзерпики. Ошибка не представляла серьезной угрозы, однако из-за нее Facebook выплатил $2,5 тыс. в рамках программы Bug Bounty.

Ваш портрет у нас

В тестовой версии нового дизайна Facebook обнаружилась ошибка, позволявшая удалять, а точнее, блокировать фото профиля. Притом, что в действительности изображение никуда не пропадает, для других пользователей фото профиля выглядит пустым.

Баг обнаружил эксперт по вопросам безопасности Филипп Хэрвуд (Philippe Harewood). По его словам, в пятой, тестируемой версии дизайна Facebook (FB5) реализован вызов GraphQL, который предназначен «для удаления фото профиля в фан-странице Facebook».

«Модификатор (мутатор) profile_picture_remove — это наименование вызова GraphQL для данной конкретной модификации, — сообщил Хэрвуд. — В обычных условиях модификация считывает идентификатор страницы Facebook в поле profile_id. Поменяв идентификатор, злоумышленник может отключить фото профиля любого пользователя».

Помимо описания, он также предложл PoC-код, позволяющий проверить возможность эксплуатации данного бага.

Работало не как полагается

Facebook признал наличие ошибки и даже упомянул ее в статье по поводу расширения программы Bug Bounty (вознаграждение за поиск уязвимостей) на новый проект Checkout on Instagram — нового инструмента для пользователей Instagram, позволяющий делать покупки прямо внутри сервиса, без перехода на внешние сервисы

Баг в дизайне Facebook давал возможность оставить пользователей без фото профиля

За свою находку Хэрвуд получил вознаграждение в размере $2,5 тыс.

«Уязвимость едва ли представляет какую-то серьезную угрозу, но вывести из себя пользователей с еее помощью можно, — считает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Впрочем, тут важнее сам факт того, что параметры новой функции возможно подменить и таким образом использовать ее не по назначению».

Роман Георгиев

Короткая ссылка