Facebook已經(jīng)解決了社交網(wǎng)絡(luò)巨頭的漏洞賞金計劃中披露的兩個嚴重的安全問題，包括可能影響超過一百萬用戶的外部數(shù)據(jù)泄露。

根據(jù)Cambridge Analytica丑聞，該公司在2018年4月擴大了其漏洞獎勵范圍，包括開發(fā)人員濫用用戶數(shù)據(jù)。

該計劃被稱為數(shù)據(jù)濫用賞金計劃，收到了來自Nightwatch Security研究員Yakov Shafranovich 的報告，該報告詳述了具有Facebook API訪問權(quán)限的第三方Android應(yīng)用程序如何以不安全的方式復(fù)制和存儲社交網(wǎng)絡(luò)之外的數(shù)據(jù)。

本周披露，安全失敗首次發(fā)現(xiàn)于2018年9月。

Google Play商店中提供的Android應(yīng)用程序?qū)⒆陨砻枋鰹橄騀acebook用戶提供“無法通過該平臺提供的附加功能”的方式，并已下載超過一百萬次。

雖然不知道有多少用戶受到影響，但已知應(yīng)用程序通過Facebook API訪問用戶數(shù)據(jù)并將此信息復(fù)制到Firebase數(shù)據(jù)庫和API服務(wù)器而無需任何身份驗證或HTTPS保護措施到位。

“這將允許攻擊者大量下載應(yīng)用程序從用戶那里積累的用戶數(shù)據(jù)，”Nightwatch Security說。“我們不確定有多少用戶受到影響或暴露，但其中一個訪問的數(shù)據(jù)庫包含超過1,000,000條記錄。”

與不安全軟件相關(guān)聯(lián)的Facebook應(yīng)用程序已被刪除，但Android應(yīng)用程序仍然可用。

9月份通過Facebook Data Abuse Bounty計劃報告了數(shù)據(jù)泄漏，導(dǎo)致11月份不安全的存儲系統(tǒng)受到保護。根據(jù)該計劃的規(guī)則，發(fā)布了一個錯誤獎金支付，雖然該數(shù)字尚未公布，但Facebook 為有效報告提供高達40,000美元的支付。

這不是Facebook近幾個月來解決的唯一安全問題。本周早些時候，一位名叫Samm0uda的漏洞獵人披露了Facebook主網(wǎng)站域名中發(fā)現(xiàn)的CSRF保護繞過漏洞。

研究人員說：“這個漏洞可能讓惡意用戶向Facebook上的任意端點發(fā)送帶有CSRF令牌的請求，這可能會導(dǎo)致受害者賬戶被收購。” “為了使這次攻擊有效，攻擊者必須欺騙目標點擊鏈接。”

易受攻擊的端點是facebook.com/comet/dialog_DONOTUSE/?url=XXXX，其中XXXX是POST請求的位置。CSRF令牌fb_dtsg會自動添加到請求正文中，如果用戶通過精心設(shè)計的惡意應(yīng)用程序訪問該URL，則允許攻擊者利用令牌來劫持帳戶進程。

“這是可能的，因為一個易受攻擊的端點，攻擊者選擇另一個給定的Facebook端點連同參數(shù)，并在添加fb_dtsg參數(shù)后向該端點發(fā)出POST請求，”Samm0uda補充說。“此端點也位于主域www.facebook.com下，這使攻擊者更容易欺騙受害者訪問URL。”

在測試安全漏洞時，研究人員發(fā)現(xiàn)他能夠在時間軸上發(fā)布帖子，刪除個人資料圖片，并誘騙用戶刪除他們的帳戶 - 條件是用戶在刪除提示下輸入密碼。

為了完全劫持帳戶，需要將新的電子郵件地址或電話號碼添加到目標帳戶。但是，這需要受害者訪問兩個單獨的URL。

錯誤賞金獵人需要通過找到具有“下一個”參數(shù)的端點來繞過這些保護，因此可以通過單擊進行帳戶接管。