Facebook处理开发人员数据库泄露至少一百万用户记录

Facebook已经解决了社交网络巨头的漏洞赏金计划中披露的两个严重的安全问题，包括可能影响超过一百万用户的外部数据泄露。

根据Cambridge Analytica丑闻，该公司在2018年4月扩大了其漏洞奖励范围，包括开发人员滥用用户数据。

该计划被称为数据滥用赏金计划，收到了来自Nightwatch Security研究员Yakov Shafranovich 的报告，该报告详述了具有Facebook API访问权限的第三方Android应用程序如何以不安全的方式复制和存储社交网络之外的数据。

本周披露，安全失败首次发现于2018年9月。

Google Play商店中提供的Android应用程序将自身描述为向Facebook用户提供“无法通过该平台提供的附加功能”的方式，并已下载超过一百万次。

虽然不知道有多少用户受到影响，但已知应用程序通过Facebook API访问用户数据并将此信息复制到Firebase数据库和API服务器而无需任何身份验证或HTTPS保护措施到位。

“这将允许攻击者大量下载应用程序从用户那里积累的用户数据，”Nightwatch Security说。“我们不确定有多少用户受到影响或暴露，但其中一个访问的数据库包含超过1,000,000条记录。”

与不安全软件相关联的Facebook应用程序已被删除，但Android应用程序仍然可用。

9月份通过Facebook Data Abuse Bounty计划报告了数据泄漏，导致11月份不安全的存储系统受到保护。根据该计划的规则，发布了一个错误奖金支付，虽然该数字尚未公布，但Facebook 为有效报告提供高达40,000美元的支付。

这不是Facebook近几个月来解决的唯一安全问题。本周早些时候，一位名叫Samm0uda的漏洞猎人披露了Facebook主网站域名中发现的CSRF保护绕过漏洞。

研究人员说：“这个漏洞可能让恶意用户向Facebook上的任意端点发送带有CSRF令牌的请求，这可能会导致受害者账户被收购。” “为了使这次攻击有效，攻击者必须欺骗目标点击链接。”

易受攻击的端点是facebook.com/comet/dialog_DONOTUSE/?url=XXXX，其中XXXX是POST请求的位置。CSRF令牌fb_dtsg会自动添加到请求正文中，如果用户通过精心设计的恶意应用程序访问该URL，则允许攻击者利用令牌来劫持帐户进程。

“这是可能的，因为一个易受攻击的端点，攻击者选择另一个给定的Facebook端点连同参数，并在添加fb_dtsg参数后向该端点发出POST请求，”Samm0uda补充说。“此端点也位于主域www.facebook.com下，这使攻击者更容易欺骗受害者访问URL。”

在测试安全漏洞时，研究人员发现他能够在时间轴上发布帖子，删除个人资料图片，并诱骗用户删除他们的帐户 - 条件是用户在删除提示下输入密码。

为了完全劫持帐户，需要将新的电子邮件地址或电话号码添加到目标帐户。但是，这需要受害者访问两个单独的URL。

错误赏金猎人需要通过找到具有“下一个”参数的端点来绕过这些保护，因此可以通过单击进行帐户接管。