Баги Facebook открывали доступ к спискам друзей и банковским картам

Анна Козонина 14 Марта 2018 - 14:10

...

Баги Facebook открывали доступ к спискам друзей и банковским картам

В прошлом году исследователь безопасности Йосип Франкович обнаружил баги в приложении Facebook, которые открывали доступ к закрытым спискам друзей и частично показывали информацию о банковских картах пользователей. На этой неделе он раскрыл детали обнаружения и исправления уязвимостей.

Франкович анализировал приложение Facebook для Android и обнаружил уязвимость, которая позволила ему получить доступ к списку друзей любого пользователя с помощью специально созданного запроса. Хотя пользователи Facebook могут запретить другим людям видеть своих друзей, уязвимость позволяла получить эту информации, независимо от настроек конфиденциальности.

Для своих мобильных приложений Facebook разработал GraphQL — язык запросов данных с открытым кодом. Запросы GraphQL можно использовать только для приложений Facebook — причем разрешены идентификаторы запросов только из белого списка — и для них требуется токен доступа.

Франкович обнаружил, что можно использовать клиентский токен из приложения Facebook для Android и обойти белый список, отправив запрос, содержащий параметр “doc_id” вместо “query_id”. После этого он стал отправлять запросы GraphQL и увидел, что запрос под названием CSPlaygroundGraphQLFriendsQuery раскрывал список друзей пользователя, чей ID был включен в запрос.

Вторая уязвимость, открытая экспертом, также была связана с GraphQL. Она позволяла потенциальным злоумышленникам получить информацию о платежной карте клиента, привязанной к аккаунту Facebook. Для этого нужно было отправить запрос, содержащий ID целевого пользователя и токен доступа, который можно было получить из приложения Facebook. Эта уязвимость раскрывала первые 6 и последние 4 цифры банковской карты, дату выпуска, тип карты, имя держателя, zip code и страну. Пользователи обычно вводят данные банковских карт на Facebook для оплаты рекламы.

Франкович сообщил Facebook о первой уязвимости 6 октября 2017 года, недостаток был исправлен к середине месяца. Баг с платежными данными обнаружился в феврале того же года и был исправлен в рекордные сроки — за 4 часа 13 минут. В начале этой недели исследователь написал об обнаруженных багах в своем блоге. Франкович не пожелал называть сумму, которую Facebook заплатил ему за обнаружение ошибок.

Ранее в этом году мы писали о том, как киберпреступники взломали Facebook-аккаунт президента Болгарии и о том, как социальная сеть атаковала своих пользователей потоками спама.

Следующая главная новость »

Контейнерные среды под атакой: как защищаться в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 12 Марта 2026 - 16:00

Windows Ошибки конфигурации программ GenAI (генеративный искусственный интеллект) Домашние пользователи

Новый способ чистки и ускорения Windows с помощью ИИ может сломать систему

Желание почистить Windows от лишнего давно стало почти отдельным жанром. Одни удаляют предустановленные приложения вручную, другие пользуются готовыми деблоат-скриптами, а теперь в ход пошёл ещё и генеративный ИИ. И вот здесь история начинает отдавать лишними проблемами.

Поводом для новой волны обсуждений стал пост на Reddit, где пользователь рассказал, что установил Windows 11 на не самое новое железо, заметил подтормаживания интерфейса и медленный запуск, а потом решил исправить это с помощью PowerShell-скрипта, сгенерированного ИИ.

По его словам, такой сценарий якобы удалил лишние приложения и сделал систему быстрее. В качестве доказательства пользователь показал скриншоты диспетчера задач, где после «оптимизации» процессов стало меньше примерно на десяток.

Проблема в том, что само по себе это почти ни о чём не говорит. Количество процессов — очень слабый показатель производительности, а в приведённом примере загрузка CPU на «улучшенной» системе вообще оказалась выше.

То есть выглядит это скорее как красивая иллюзия контроля: процессов стало меньше, значит всё стало лучше. Хотя в реальности производительность системы — это не только число фоновых процессов, но и поведение памяти, диска, драйверов, фоновых служб, задержек интерфейса и ещё длинного списка вещей.

Но главная проблема даже не в сомнительном результате, а в самом подходе. Запускать на своём компьютере скрипт, который написал ИИ, при этом не понимая, что именно он делает, — идея откровенно рискованная. Такие сценарии часто лезут в реестр Windows, отключают системные компоненты, меняют политики и настройки, которые потом могут неожиданно выстрелить после следующего обновления.

Собственно, эта опасность давно существует и с обычными инструментами чистки ОС от сторонних разработчиков. У многих таких утилит на GitHub даже прямо написано: используйте на свой страх и риск. Но когда вместо понятного скрипта от конкретного автора в дело вступает ИИ, ситуация становится ещё веселее.

Нейросеть может не до конца понять задачу, сделать слишком агрессивные изменения, удалить что-то важное или просто выдать код, который выглядит убедительно, но работает совсем не так, как пользователь ожидает.

Вся история особенно иронична ещё и потому, что в обсуждаемом случае у пользователя, как отмечает автор материала, был далеко не слабый процессор — AMD Ryzen 9 5950X. Так что если на такой системе в повседневной работе всё действительно плохо, то проблема, скорее всего, не в «лишних приложениях», а где-то глубже.

Контейнерные среды под атакой: как защищаться в 2026 году?
Регистрируйтесь на эфир!