Баги Facebook открывали доступ к спискам друзей и банковским картам

Анна Козонина 14 Марта 2018 - 14:10

...

Баги Facebook открывали доступ к спискам друзей и банковским картам

В прошлом году исследователь безопасности Йосип Франкович обнаружил баги в приложении Facebook, которые открывали доступ к закрытым спискам друзей и частично показывали информацию о банковских картах пользователей. На этой неделе он раскрыл детали обнаружения и исправления уязвимостей.

Франкович анализировал приложение Facebook для Android и обнаружил уязвимость, которая позволила ему получить доступ к списку друзей любого пользователя с помощью специально созданного запроса. Хотя пользователи Facebook могут запретить другим людям видеть своих друзей, уязвимость позволяла получить эту информации, независимо от настроек конфиденциальности.

Для своих мобильных приложений Facebook разработал GraphQL — язык запросов данных с открытым кодом. Запросы GraphQL можно использовать только для приложений Facebook — причем разрешены идентификаторы запросов только из белого списка — и для них требуется токен доступа.

Франкович обнаружил, что можно использовать клиентский токен из приложения Facebook для Android и обойти белый список, отправив запрос, содержащий параметр “doc_id” вместо “query_id”. После этого он стал отправлять запросы GraphQL и увидел, что запрос под названием CSPlaygroundGraphQLFriendsQuery раскрывал список друзей пользователя, чей ID был включен в запрос.

Вторая уязвимость, открытая экспертом, также была связана с GraphQL. Она позволяла потенциальным злоумышленникам получить информацию о платежной карте клиента, привязанной к аккаунту Facebook. Для этого нужно было отправить запрос, содержащий ID целевого пользователя и токен доступа, который можно было получить из приложения Facebook. Эта уязвимость раскрывала первые 6 и последние 4 цифры банковской карты, дату выпуска, тип карты, имя держателя, zip code и страну. Пользователи обычно вводят данные банковских карт на Facebook для оплаты рекламы.

Франкович сообщил Facebook о первой уязвимости 6 октября 2017 года, недостаток был исправлен к середине месяца. Баг с платежными данными обнаружился в феврале того же года и был исправлен в рекордные сроки — за 4 часа 13 минут. В начале этой недели исследователь написал об обнаруженных багах в своем блоге. Франкович не пожелал называть сумму, которую Facebook заплатил ему за обнаружение ошибок.

Ранее в этом году мы писали о том, как киберпреступники взломали Facebook-аккаунт президента Болгарии и о том, как социальная сеть атаковала своих пользователей потоками спама.

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 14 Апреля 2026 - 19:59

Ideco NGFW Novum Корпорации Сетевая безопасность Межсетевой экран Межсетевые экраны нового поколения (NGFW) Айдеко

В Ideco NGFW Novum появились новые функции ZTNA, DNS-Security и SD-WAN

Компания Ideco представила обновление межсетевого экрана Ideco NGFW Novum. Новый релиз заметно расширяет функциональность продукта: в него вошли централизованное управление, доработки модуля защиты DNS, новые сценарии ZTNA и встроенные механизмы SD-WAN.

Одним из главных изменений стала платформа Ideco Center для централизованного управления.

В ней появилась поддержка высокопроизводительных контекстов и геораспределённого кластера из двух узлов в разных дата-центрах. При этом отказ одного из узлов, как заявляется, не должен прерывать управление инфраструктурой. Также добавлен централизованный сбор журналов IPS и WAF с возможностью выгрузки в SIEM.

Отдельно доработан модуль DNS-Security. В системе появился журнал DNS-запросов, где можно отслеживать обмен DNS-сообщениями при включённом логировании и активированном модуле защиты. Сам модуль предназначен для выявления угроз, которые не всегда видны обычным механизмам межсетевого экрана, включая DGA-домены, DNS-туннелирование, обращения к управляющей инфраструктуре, фишинговые и недавно зарегистрированные домены.

Изменения затронули и ZTNA-клиент. Теперь пользователя можно привязывать к конкретному устройству, а сертификат использовать как дополнительный фактор авторизации в VPN. Сертификаты можно выпускать через NGFW или использовать собственные. В сочетании с логином, паролем и одноразовым кодом это позволяет собрать многофакторную схему доступа.

В блоке SD-WAN появились SLA-профили. Это означает, что маршрутизация теперь может учитывать параметры вроде задержки, джиттера и потери пакетов. Если канал перестаёт соответствовать заданному профилю, узел NGFW может переключить маршрут. Все такие переключения фиксируются в журнале с указанием причины.

Кроме того, в релиз добавили интеграцию с базой ФинЦЕРТ. Благодаря этому в правилах межсетевого экрана, контент-фильтра и IPS можно использовать соответствующие индикаторы компрометации.

Изменения затронули и кластеризацию. В обновлении заявлены синхронизация FIB-таблицы и состояния LACP-интерфейсов между узлами, поддержка Graceful Restart для BGP и OSPF, синхронизация базы отчётов между нодами, а также ускорение переключения внутри кластера.

В части ИБ-функций добавлены защита от ICMP-туннелирования, авторизация администраторов по SSH-ключу и двухфакторная аутентификация для административного доступа.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!