Баги Facebook открывали доступ к спискам друзей и банковским картам

Баги Facebook открывали доступ к спискам друзей и банковским картам

В прошлом году исследователь безопасности Йосип Франкович обнаружил баги в приложении Facebook, которые открывали доступ к закрытым спискам друзей и частично показывали информацию о банковских картах пользователей. На этой неделе он раскрыл детали обнаружения и исправления уязвимостей.

Франкович анализировал приложение Facebook для Android и обнаружил уязвимость, которая позволила ему получить доступ к списку друзей любого пользователя с помощью специально созданного запроса. Хотя пользователи Facebook могут запретить другим людям видеть своих друзей, уязвимость позволяла получить эту информации, независимо от настроек конфиденциальности.

Для своих мобильных приложений Facebook разработал GraphQL — язык запросов данных с открытым кодом. Запросы GraphQL можно использовать только для приложений Facebook — причем разрешены идентификаторы запросов только из белого списка — и для них требуется токен доступа.

Франкович обнаружил, что можно использовать клиентский токен из приложения Facebook для Android и обойти белый список, отправив запрос, содержащий параметр “doc_id” вместо “query_id”. После этого он стал отправлять запросы GraphQL и увидел, что запрос под названием CSPlaygroundGraphQLFriendsQuery раскрывал список друзей пользователя, чей ID был включен в запрос.

Вторая уязвимость, открытая экспертом, также была связана с GraphQL. Она позволяла потенциальным злоумышленникам получить информацию о платежной карте клиента, привязанной к аккаунту Facebook. Для этого нужно было отправить запрос, содержащий ID целевого пользователя и токен доступа, который можно было получить из приложения Facebook. Эта уязвимость раскрывала первые 6 и последние 4 цифры банковской карты, дату выпуска, тип карты, имя держателя, zip code и страну. Пользователи обычно вводят данные банковских карт на Facebook для оплаты рекламы.

Франкович сообщил Facebook о первой уязвимости 6 октября 2017 года, недостаток был исправлен к середине месяца. Баг с платежными данными обнаружился в феврале того же года и был исправлен в рекордные сроки — за 4 часа 13 минут. В начале этой недели исследователь написал об обнаруженных багах в своем блоге. Франкович не пожелал называть сумму, которую Facebook заплатил ему за обнаружение ошибок.

Ранее в этом году мы писали о том, как киберпреступники взломали Facebook-аккаунт президента Болгарии и о том, как социальная сеть атаковала своих пользователей потоками спама.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

InfoWatch разработала сервис безопасных онлайн-расчетов для банков

ГК InfoWatch разработала сервис «Онлайн-аккредитив» для проведения безопасных расчетов между поставщиками и покупателями товаров и услуг в Сети. Сервис для банков и В2В-сектора создан для защиты интересов всех сторон, принимающих участие в процессе купли-продажи в условиях недостаточной информированности друг о друге.

«Онлайн-аккредитив» обеспечивает гарантированный возврат средств покупателю, если продавец не оказывает услугу или не поставляет заказанный товар, а также, если товар или услуга поставляются с нарушениями условий договора - оказываются некачественными или поставленными не в том объеме. В свою очередь, поставщик товаров или услуг становится защищенным от претензий недобросовестных покупателей при помощи прозрачной процедуры арбитража, которую при возникновении спорных случаев ведут специалисты компании-оператора сервиса (любого российского банка, использующего «Онлайн-аккредитив»).

«Как правило, продавец и покупатель товаров и услуг при первом контакте никак не защищены от обмана, они не знают друг друга, у них нет гарантий того, что крупная сделка пройдет честно и гладко. Наш сервис – это аналог банковской ячейки для незнакомых друг с другом сторон. Благодаря его работе обе стороны могут быть полностью уверены в конечном результате – покупатель в получении товара, а продавец – в поступлении оплаты за заказ – полностью и в срок», — объясняет Наталья Касперская, президент ГК InfoWatch.

Сервис работает так: покупатель перечисляет средства для оплаты товара или услуги на номинальный счет, созданный компанией-оператором сервиса, где перечисленные средства резервируются. Затем продавец отгружает товар или оказывает услугу. После того, как покупатель подтвердил получение товара или услуги, продавец может получить свои деньги.

Новая разработка ГК InfoWatch позволяет российским банкам расширить продуктовую линейку сервисом для осуществления безопасных сделок в режиме онлайн, резко ускорить проведение сделок, сократить затраты на проведение документарных операций и исключить ошибки, вызванные человеческим фактором. В свою очередь, платформы для электронной коммерции получают эффективный и защищенный способ организации онлайн-расчетов при выполнении заказов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru