Спецпроекты

Дыра в Facebook позволяла удалять чужие юзерпики

ПО Безопасность Бизнес Интернет

Баг в будущей версии дизайна Facebook позволял удалять чужие юзерпики. Ошибка не представляла серьезной угрозы, однако из-за нее Facebook выплатил $2,5 тыс. в рамках программы Bug Bounty.

Ваш портрет у нас

В тестовой версии нового дизайна Facebook обнаружилась ошибка, позволявшая удалять, а точнее, блокировать фото профиля. Притом, что в действительности изображение никуда не пропадает, для других пользователей фото профиля выглядит пустым.

Баг обнаружил эксперт по вопросам безопасности Филипп Хэрвуд (Philippe Harewood). По его словам, в пятой, тестируемой версии дизайна Facebook (FB5) реализован вызов GraphQL, который предназначен «для удаления фото профиля в фан-странице Facebook».

«Модификатор (мутатор) profile_picture_remove — это наименование вызова GraphQL для данной конкретной модификации, — сообщил Хэрвуд. — В обычных условиях модификация считывает идентификатор страницы Facebook в поле profile_id. Поменяв идентификатор, злоумышленник может отключить фото профиля любого пользователя».

Помимо описания, он также предложл PoC-код, позволяющий проверить возможность эксплуатации данного бага.

Работало не как полагается

Facebook признал наличие ошибки и даже упомянул ее в статье по поводу расширения программы Bug Bounty (вознаграждение за поиск уязвимостей) на новый проект Checkout on Instagram — нового инструмента для пользователей Instagram, позволяющий делать покупки прямо внутри сервиса, без перехода на внешние сервисы

Баг в дизайне Facebook давал возможность оставить пользователей без фото профиля

За свою находку Хэрвуд получил вознаграждение в размере $2,5 тыс.

«Уязвимость едва ли представляет какую-то серьезную угрозу, но вывести из себя пользователей с еее помощью можно, — считает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Впрочем, тут важнее сам факт того, что параметры новой функции возможно подменить и таким образом использовать ее не по назначению».



Технология месяца

Цифровизация электросетей реализуется преимущественно на отечественных технологиях

Игорь Маковский

генеральный директор «Россети Центр»

Персона месяца

Импортозамещение не должно порождать некачественные продукты для местечкового применения

Сергей Калин

президент компании «Открытые технологии»