Баги Facebook открывали доступ к спискам друзей и банковским картам

Анна Козонина 14 Марта 2018 - 14:10

...

Баги Facebook открывали доступ к спискам друзей и банковским картам

В прошлом году исследователь безопасности Йосип Франкович обнаружил баги в приложении Facebook, которые открывали доступ к закрытым спискам друзей и частично показывали информацию о банковских картах пользователей. На этой неделе он раскрыл детали обнаружения и исправления уязвимостей.

Франкович анализировал приложение Facebook для Android и обнаружил уязвимость, которая позволила ему получить доступ к списку друзей любого пользователя с помощью специально созданного запроса. Хотя пользователи Facebook могут запретить другим людям видеть своих друзей, уязвимость позволяла получить эту информации, независимо от настроек конфиденциальности.

Для своих мобильных приложений Facebook разработал GraphQL — язык запросов данных с открытым кодом. Запросы GraphQL можно использовать только для приложений Facebook — причем разрешены идентификаторы запросов только из белого списка — и для них требуется токен доступа.

Франкович обнаружил, что можно использовать клиентский токен из приложения Facebook для Android и обойти белый список, отправив запрос, содержащий параметр “doc_id” вместо “query_id”. После этого он стал отправлять запросы GraphQL и увидел, что запрос под названием CSPlaygroundGraphQLFriendsQuery раскрывал список друзей пользователя, чей ID был включен в запрос.

Вторая уязвимость, открытая экспертом, также была связана с GraphQL. Она позволяла потенциальным злоумышленникам получить информацию о платежной карте клиента, привязанной к аккаунту Facebook. Для этого нужно было отправить запрос, содержащий ID целевого пользователя и токен доступа, который можно было получить из приложения Facebook. Эта уязвимость раскрывала первые 6 и последние 4 цифры банковской карты, дату выпуска, тип карты, имя держателя, zip code и страну. Пользователи обычно вводят данные банковских карт на Facebook для оплаты рекламы.

Франкович сообщил Facebook о первой уязвимости 6 октября 2017 года, недостаток был исправлен к середине месяца. Баг с платежными данными обнаружился в феврале того же года и был исправлен в рекордные сроки — за 4 часа 13 минут. В начале этой недели исследователь написал об обнаруженных багах в своем блоге. Франкович не пожелал называть сумму, которую Facebook заплатил ему за обнаружение ошибок.

Ранее в этом году мы писали о том, как киберпреступники взломали Facebook-аккаунт президента Болгарии и о том, как социальная сеть атаковала своих пользователей потоками спама.

Следующая главная новость »

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 27 Февраля 2026 - 15:28

Домашние пользователи

В WhatsApp по всему миру запустили рекламу в статусах и каналах

В WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) официально стартовал глобальный запуск рекламы в разделе «Обновления». Речь о двух форматах: Promoted Channels («Продвигаемые каналы») и рекламе в статусах. После этапа тестирования в отдельных странах разработчики объявили: теперь эти инструменты доступны по всему миру.

Весь рекламный контент сосредоточен именно во вкладке «Обновления», в личных чатах, звонках и группах ничего не меняется.

В WhatsApp подчёркивают, что личная переписка по-прежнему защищена сквозным шифрованием и не используется для таргетинга.

Реклама в статусах выглядит почти так же, как обычные статусы пользователей. Она появляется между публикациями и легко пролистывается одним свайпом, буквально за долю секунды. Если рекламодатель покажется навязчивым, его можно заблокировать или скрыть объявления через меню с тремя точками.

«Продвигаемые каналы» работают иначе: это способ для бизнеса и авторов выделиться в каталоге каналов. Такие каналы помечаются специальной меткой, чтобы было понятно, что продвижение оплачено. Например, локальная кофейня может рекламировать свой канал с сезонными предложениями, а фитнес-студия — привлекать аудиторию из своего района.

Таргетинг при этом строится на ограниченном наборе сигналов: языке, стране и взаимодействии с рекламой. Личные сообщения, звонки и активность в группах не используются для персонализации объявлений.

Новые рекламные форматы становятся доступны после обновления WhatsApp до последних версий на Android и iOS. Впрочем, как это часто бывает, развёртывание происходит постепенно, поэтому у некоторых пользователей изменения могут появиться не сразу.

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!