Un chercheur a déclaré qu’il avait gagné 30000 dollars de Facebook pour avoir découvert une vulnérabilité qui aurait pu être exploitée pour créer des publications invisibles sur n’importe quelle page. Le même montant a été versé à un chercheur différent pour une faille de piratage de compte.

Le chasseur de bugs Pouya Darabi a découvert en novembre qu’un attaquant aurait pu créer des publications invisibles sur n’importe quelle page Facebook, y compris les pages vérifiées, sans avoir aucune autorisation sur la page ciblée.

Le chercheur a découvert la vulnérabilité lors de l’analyse de Creative Hub, un outil qui permet aux utilisateurs de Facebook de créer et de prévisualiser des publicités pour Facebook, Instagram ou Messenger. Creative Hub permet aux utilisateurs de collaborer sur des maquettes d’annonces et les annonces peuvent être prévisualisées en créant une publication invisible sur la page sélectionnée.

Ces messages invisibles ont un identifiant et un lien, mais ils ne sont pas visibles sur la page où ils ont été créés – ils ne peuvent être consultés que par les utilisateurs qui ont le lien.

Darabi a découvert que changer le page_id dans une demande envoyée lors de la création d’un tel message invisible conduit à la création du message sur la page Facebook associée au page_id. « Tout ce que nous devons faire est de trouver le post_id qui existe sur tous les points de terminaison d’aperçu des annonces », a-t-il expliqué.

Cependant, lorsqu’une publication invisible est créée pour prévisualiser une annonce, Facebook vérifie si l’utilisateur dispose des autorisations nécessaires pour publier sur la page ciblée. Le chercheur a contourné cette exigence en abusant de la fonctionnalité «Partager» dans Creative Hub, qui crée un lien qui donne aux autres accès à l’aperçu de l’annonce. La vérification des autorisations était manquante lors de l’utilisation de cette fonctionnalité de partage, permettant à un attaquant de créer des publications invisibles sur des pages où il n’avait aucun rôle.

Cette vulnérabilité aurait pu être très utile aux acteurs malveillants car elle leur aurait permis de créer des publications avec n’importe quel contenu – y compris les escroqueries et les liens malveillants – sur n’importe quelle page Facebook, faisant de leur …

Voir la source de cette publication