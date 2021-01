Facebook heeft een kwetsbaarheid verholpen waardoor het mogelijk was om 'onzichtbare' berichten aan willekeurige Facebookpagina's toe te voegen, zonder dat een aanvaller over enige rechten hoefde te beschikken. Kwaadwillenden zouden de kwetsbaarheid hebben kunnen misbruiken voor scams en het verspreiden van malware.

Facebook biedt naast de mogelijkheid van berichten en pagina's die in de tijdlijn verschijnen ook een optie voor "unlisted" berichten. Deze berichten verschijnen niet in de tijdlijn en zijn alleen toegankelijk als de url bekend is. Beveiligingsonderzoeker Pouya Darabi ontdekte een manier om deze berichten aan willekeurige Facebookpagina's toe te voegen.

Via de Creative Hub van Facebook kunnen gebruikers advertenties voor Facebook, Instagram en Messenger maken en bekijken. Facebook maakt dan een onzichtbaar bericht als preview aan, zodat het resultaat kan worden bekeken voordat het wordt gepubliceerd. Deze onzichtbare pagina, die over een link en een ID beschikt, kan via de "Share Feature" met andere gebruikers worden gedeeld, zodat die de pagina kunnen bekijken.

Bij deze feature bleek Facebook niet te controleren of de gebruiker wel rechten had om een bericht aan te maken en te delen op de opgeven Facebookpagina. Door het page_id te veranderen in het page_id van een willekeurige Facebookpagina kon zo het onzichtbare bericht worden toegevoegd. "De grootste impact van dergelijke berichten is dat de beheerder die niet kan bekijken of verwijderen, aangezien die niet over de link beschikt", laat Darabi weten.

De onderzoeker meldde het probleem op 6 november aan Facebook, waarna op 11 november er een fix werd uitgerold. Facebook beloonde de onderzoeker voor zijn melding met 15.000 dollar. Darabi ontdekte echter een manier om de fix van Facebook te omzeilen en rapporteerde dit aan de sociale netwerksite. Die beloonde de onderzoeker wederom met 15.000 dollar voor zijn melding.