Компания Facebook исправила уязвимость в своей торговой платформе Facebook Marketplace, раскрывающую данные о местоположении продавцов.

Facebook Marketplace представляет собой цифровую площадку, где можно выставлять на продажу и покупать товар. Facebook Marketplace доступен как через сайт, так и через приложение соцсети.

Исследователь безопасности Джон Мосс (John Moss) решил выяснить, можно ли через Facebook Marketplace получить сведения, которые помогли бы в возвращении украденных вещей их законным владельцам. Изучая предоставляемые площадкой данные о местоположении, Мосс обнаружил , что ответы JSON для рекламы, созданной в мобильном приложении Facebook, не приблизительные, как предполагалось, а содержали точные географические координаты (широту и долготу). По словам Мосса, точные координаты продавцов – золотая жила для воров.

С целью воспроизведения уязвимости исследователь выставил на продажу велосипед через мобильное приложение. В качестве места продажи Мосс указал отель в Ньюкасле (Великобритания). Не заходя в соцсеть, он открыл страницу со своим товаром и увидел, что на ней указан не только почтовый индекс, но и географические координаты.

Раскрытие точного местоположения продавцов никогда не входило в планы Facebook и произошло случайно. В настоящее время уязвимость уже исправлена, однако компания не сразу согласилась с тем, что она действительно опасна. Поначалу Facebook дважды отклоняла сообщение Мосса, но потом все-таки исправила проблему и выплатила исследователю $5 тыс. в рамках своей программы вознаграждений.

Источник: securitylab.ru