Można było tworzyć posty na dowolnej stronie facebookowej (bez posiadania uprawnień). Bug warty w sumie ~100 000 PLN

Podatność została załatana w listopadzie 2020r. a sprowadzała się do braku sprawdzenia uprawnień przez Facebooka.

W ramach przykładu, badacz pokazał jak można by stworzyć „lewy” wpis na oficjalnej stronie Facebooka informujący że Facebook zwraca na konto podwojoną kwotę wpłaconą do nich w Bitcoinach:

Jak można było to zrobić? Wystarczyło przygotować reklamę, a w żądaniu zapisu reklamy podmienić page_id na docelowy (tam gdzie chcemy żeby znalazł się sam post).

Sama reklama się zapisywała bez błędu, choć już na podglądzie był brak uprawnień:

Co ciekawe, na potrzeby podglądu reklamy tworzony jest tzw. niewidzialny post na danej stronie (niewidzialny – czyli ma swój ID-ek oraz linka ale nie jest widoczny w feedzie). Dotatkowo na potrzeby akceptacji reklamy można wydzielić podgląd w postaci linku. A stąd już łatwo było zobaczyć jaki IDek posiadał docelowy wpis stworzony w atakowanym profilu. PoC dostępny jest na filmie tutaj.

Facebook w kilka dni załatał problem, choć badacz znalazł jeszcze jedno obejście (użycie funkcji „send to mobile” zamiast zwykłego „share”). Za znalezisko wypłacono mu $15 000, za obejście fixu – dodatkowe $15 000.

–ms