%username%, здарова. В октябре прошлого года (ну 2013), я от имени OnSec lab нашёл интересную такую багу — утечка сессии мобильной версии facebook. Давай объясню если не понял. Вот видел на некоторых сайтах работает такая фишка, тебе приходит новое сообщение, а на мыло падает «У вас новое сообщение, прочитать ТУТ», а там какая-то ссылка типа site/message?autch=098f6bcd4621d373cade4e832627b4f6, ты по ней заходишь и (ТАДАААМ!) тебе не нужно вводить логин и пароль, присваивались недостающие куки и все счастливы. Так вот, в facebook была такая же тема, только для мобильной версии передавалась сессия в виде параметра m_sess, что и спровоцировало утечку аккаунтов! Как это произошло и кто виноват? Да хрен его знает, но видимо разрабы лицокниги и какое-то приложение, которое сливало всю инфу гуглу, благодаря чему все это индексировалось 🙂
Google dork: site:m.facebook.com inurl:m_sess
Вот так это выглядело
Потыкая по ссылкам можно было попасть на подобные странички:
1
2
3
Прошу прощения у чуваков, к кому я ворвался, но все было только ради эксперимента.
Все было замечательно, facebook ответил 20 октября, чтобы уточнить как это можно воспроизвести по шагам. Достаточно глупый вопрос, ведь я сразу кинул несколько дорков, кучу скринов и всю необходимую информацию. Ну хорошо, ответил им более подробно, по шагам (открываем google, вводим запрос site:m.facebook.com, etc). Шло время, ответа небыло…
Вначале декабря @d0znpp нашёл, с кем можно связаться, чтобы узнать как дела с репортом:
Argh! Facebook security bug (bypass) — waiting response during month. Does anybody have direct contact to security team? //cc @i_bo0om
— Ivan Novikov (@d0znpp) 2 декабря 2013
@d0znpp reply to your ticket and it will bump it to the top of the queue. I only see one issue for you we closed out in june.
— collin (@libber) 2 декабря 2013
Потерялось письмо? Ок, я переслал. Потом ещё раз. Потом ещё. Вчера я ещё раз написал на email и (о чудо) мне ответили. Ответили, что я не первый, кто нашёл этот баг и награда не положена. Сука T_T. Как говорит @d90anrew, так можно на любую багу отвечать, но по крайней мере я не нашёл подобного упоминания в интернетах, да и отвечали 3 месяца, что тоже странно. В любом случае это лучше, чем ситуация с PayPal.