Дыра в Facebook позволяла удалять чужие юзерпики
Баг в будущей версии дизайна Facebook позволял удалять чужие юзерпики. Ошибка не представляла серьезной угрозы, однако из-за нее Facebook выплатил $2,5 тыс. в рамках программы Bug Bounty.
Ваш портрет у нас
В тестовой версии нового дизайна Facebook обнаружилась ошибка, позволявшая удалять, а точнее, блокировать фото профиля. Притом, что в действительности изображение никуда не пропадает, для других пользователей фото профиля выглядит пустым.
Баг обнаружил эксперт по вопросам безопасности Филипп Хэрвуд (Philippe Harewood). По его словам, в пятой, тестируемой версии дизайна Facebook (FB5) реализован вызов GraphQL, который предназначен «для удаления фото профиля в фан-странице Facebook».
«Модификатор (мутатор) profile_picture_remove — это наименование вызова GraphQL для данной конкретной модификации, — сообщил Хэрвуд. — В обычных условиях модификация считывает идентификатор страницы Facebook в поле profile_id. Поменяв идентификатор, злоумышленник может отключить фото профиля любого пользователя».
Помимо описания, он также предложл PoC-код, позволяющий проверить возможность эксплуатации данного бага.
Работало не как полагается
Facebook признал наличие ошибки и даже упомянул ее в статье по поводу расширения программы Bug Bounty (вознаграждение за поиск уязвимостей) на новый проект Checkout on Instagram — нового инструмента для пользователей Instagram, позволяющий делать покупки прямо внутри сервиса, без перехода на внешние сервисы
За свою находку Хэрвуд получил вознаграждение в размере $2,5 тыс.
«Уязвимость едва ли представляет какую-то серьезную угрозу, но вывести из себя пользователей с еее помощью можно, — считает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Впрочем, тут важнее сам факт того, что параметры новой функции возможно подменить и таким образом использовать ее не по назначению».