Można było banalnie przejąć dowolne konto firmowe na Facebooku. Nagroda za zgłoszenie buga: ~100 000 PLN

Opis podatności tutaj. W skrócie – można importować listę własnych adminów (mając dostęp do swojego firmowego konta), przy czym… istniała możliwość zaimportowania adminów do dowolnego konta firmowego, podając po prostu jego ID i zaimportować siebie:

There is a call to import admins to a business account. The call at the time didn’t seem to have any permissions set to it. This meant it was possible to add oneself as an admin to any business.

W uproszczeniu wystarczył taki request HTTP do Facebooka:

HTTP POST
/business/aymc_assets/admins/import/
Host: facebook.com

business_id=TARGET_BUSSINESS_ID
admin_id=MALICIOUS_USER_ID
session_id:SESSION_ID

Filmik z całego procederu znajdziecie na … Facebooku ;-)

https://www.facebook.com/113702895386410/videos/244805279548226/

Badacz otrzymał od Facebooka $27 500 w ramach zgłoszenia bug bounty.

–ms