Баг нового дизайна Facebook позволяет удалить фото профиля пользователей

Баг нового дизайна Facebook позволяет удалить фото профиля пользователей

Уязвимость в новом дизайне Facebook можно использовать для удаления фото профиля любого пользователя. Речь идет о дизайне FB5, который соцсеть представила в апреле на конференции F8. О проблеме сообщил исследователь в области кибербезопасности Филипе Хэрвуд.

По словам Хэрвуда, в новом дизайне сайта для удаления фото профиля задействуется вызов GraphQL. Именно этот механизм можно использовать в злонамеренных целях, считает эксперт.

«Имя GraphQL-вызова для этих конкретных целей — profile_picture_remove. В обычных обстоятельствах этот вызов должен принять идентификатор страницы в поле profile_id. При смене этого идентификатора на ID профиля любого пользователя злоумышленник сможет удалить фото его профиля», — пишет Хэрвуд в блоге.

Стоит отметить, что удаление фото не происходит бесповоротно — при желании пострадавший юзер сможет вернуть его. Филипе Хэрвуд опубликовал PoC-код, с помощью которого можно использовать этот баг.

Facebook подтвердил наличие проблемы и выплатил исследователю $2500.

Напомним, что Facebook также наградил команду исследователей из Германии суммой в $100 000 за создание новой техники изоляции кода, которую можно использовать для защиты конфиденциальных данных в момент их обработки.

 

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

СУАТМ поможет бороться с кол-центрами и звонками мошенников в мессенджерах

В России может появиться еще одна антифрод-платформа. По замыслу, система учета и анализа телефонного мошенничества (СУАТМ) позволит вовлечь в обмен данными всех заинтересованных лиц с тем, чтобы охватить даже такие каналы, как IP-телефония и мессенджеры.

Автором идеи объединить на общей платформе всех участников рынка — банки, операторов связи, регуляторов, правоохранительные органы — является «Тинькофф». По сути, это будет аналог автоматизированной системы ФинЦЕРТ Банка России, но для телекома, у которого сейчас есть только «Антифрод» Роскомнадзора.

СУАТМ в числе прочего поможет в реальном времени выявлять операторов, обеспечивающих работу мошеннических кол-центров, и сообщать о таких нарушениях регулятору. Новую систему также можно будет использовать для блокировки IMаккаунтов, используемых обманщиками, и звонков с виртуальных сим-карт.

Сценарий взаимодействия при этом может выглядеть следующим образом. Клиент жалуется банку на мошеннический звонок, тот отправляет уведомление в СУАТМ, система в режиме реального времени получает от телеоператора информацию об инициаторе звонка.

Если это другой оператор, перебирается вся цепочка (за несколько минут), и данные «нулевого пациента» передаются всем провайдерам для блокировки мошеннического трафика либо аккаунта в мессенджере. Об источнике также ставятся в известность РКН и МВД. Если виновник — оператор, его могут оштрафовать на 500 тыс. руб. за пропуск мошеннических звонков.

По словам «Тинькофф», банки, операторы, ЦБ положительно восприняли инициативу. Однако для эффективной работы СУАТМ придется корректировать нормативную базу. Операторов нужно будет обязать подключиться к новой антифрод-платформе. Кроме того, созданию подобной системы наверняка будет мешать регуляторный запрет на передачу персональных данных сторонним организациям.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru