Только на прошлой неделе в мессенджере Facebook была исправлена уязвимость, которая позволяла удалять и подменять любые сообщения пользователей. Теперь бельгийский исследователь Энти де Сёклер (Inti De Ceukelaire) рассказал о еще одной проблеме, но ее руководство социальной сети устранять не намерено. Исследователь утверждает, что приватные ссылки, которыми пользователи делятся с друзьями в частном порядке, может увидеть любой желающий.
Энти де Сёклер всерьез рассчитывал получить солидное вознаграждение в рамках программы bug bounty, однако руководство Facebook отказалось признать его находку багом. Представители социальной сети сообщили исследователю, что возможность обращения к Facebook Graph API и последующее извлечение из БД ссылок, которыми ранее делились друг с другом пользователи, это функция, о которой разработчикам прекрасно известно и ничего делать с ней не планируют.
Суть найденной бельгийцем проблемы заключает в том, как именно Facebook обрабатывает ссылки. Когда пользователь социальной сети отправляет кому-либо ссылку в частном порядке или постит ее открыто, платформа парсит адрес и возвращает заголовок страницы, небольшое описание ее содержимого, миниатюру изображения, а также создает идентификатор object ID. Затем вся эта информация сохраняется в базе данных.
Исследователь обнаружил, что если обратиться к Facebook Graph API напрямую и рендомно перебирать object ID, настроив фильтрацию, в ответ можно получать ссылки, в том числе те, которыми пользователи ранее приватно поделились со своими друзьями.
Хотя де Сёлкер пишет, что связать полученные результаты с конкретными пользователями Facebook не выйдет, это не умаляет серьезности проблемы. Дело в том, что используя обычный брутфорс и перебирая разные object ID можно составить огромную базу ссылок, многие из которых будут ссылками на личные файлы. В этих файлах могут (и будут) содержаться самые разные конфиденциальные данные людей, начиная от их имен, фамилий и адресов и заканчивая информацией о банковских счетах, медицинских записях и так далее. Также ссылки могут вести на скрытые от посторонних глаз фотографии, документы и видеоролики, в том числе хранящиеся в облачных сервисах, или предоставлять доступ к закрытым для посторонних сервисам и ПО.
В своем блоге де Сёлкер цитирует ответ, полученный от представителей Facebook. Исследователю сообщили, что его находка — это вовсе не уязвимость, а задокументированные функции, информация о которых представлена в документах для разработчиков. Одним словом, делиться важными данными через Facebook Messenger, само приложение или приватные группы явно не стоит. Все они потом будут одинаково доступны извне.
Отмечу, что компания Twitter уже столкнулась с последствиями работы очень похожих «задокументированных функций». В 2015 году сервис уличили в том, что он сканирует личные сообщения пользователей перед отправкой на предмет поиска ссылок t.co. На компанию уже подали в суд.