Lỗ hổng Facebook cho phép bất kì ai cũng có thể xóa ảnh của bạn

39

Nếu bạn cho rằng một hệ thống có giá trị lớn đến hơn 500 tỷ USD như Facebook không tồn tại bất lỳ lỗ hổng nào, thì rất có thể bạn đã lầm. Những lỗ hổng dù trông đơn giản nhưng đôi khi lại có thể gây ra hậu quả nghiêm trọng.

Gần đây, Pouya Darabi, nhà phát triển web người Iran, đã phát hiện một lỗ hổng trên Facebook cho phép người dùng có thể xóa bất kỳ bức ảnh nào được đăng trên mạng xã hội này.

Lỗ hổng trên nằm trong tính năng “polling feature” của Facebook được kích hoạt vào đầu tháng 11/2017 vừa qua. Poll cho phép người dùng đăng các câu hỏi thăm dò, bình chọn như một dòng trạng thái với cả hình ảnh thường và ảnh động GIF.

Darabi đã phân tích tính năng này và thấy rằng, mỗi khi tạo một bài thăm dò có sử dụng hình ảnh, Facebook sẽ gửi một yêu cầu đến máy chủ trong đó có chứa địa chỉ URL ảnh hoặc ID ảnh đó ( poll_question_data [options] [] [associated_image_id] ). Mọi người đều có thể dễ dàng thay thế địa chỉ ID của ảnh này bằng ID của bất kỳ tấm ảnh nào được đăng mạng xã hội. Và sau đó, dòng trạng thái sẽ hiển thị bức ảnh vừa được thay thế. Nếu bạn xóa bài đăng đó đi thì đồng thời ảnh nguồn cũng sẽ bị xóa, thậm chí ngay cả khi bạn không phải là người sở hữu ảnh.

Darabi cho biết, ông nhận được 10,000 USD tiền thưởng từ Facebook sau khi báo cáo về việc phát hiện lỗ hổng Facebook xoá hình ảnh người dùng này lên mạng vào ngày 3 tháng 11 vừa qua. Và hai ngày sau đó, tức là vào ngày 5 tháng 11, Facebook đã kịp thời vá lỗi.

Đây không phải lần đầu tiên Facebook gặp phải vấn đề này. Trước đây, các nhà nghiên cứu đã phát hiện và báo cáo một số lỗ hổng tương tự như xóa video, xóa album ảnh, sửa đổi bình luận hay tin nhắn mà không được phép.

Trước đó, Darabi cũng từng nhận được khoản tiền thưởng trị giá 15 000 USD khi vượt qua được hệ thống bảo mật cross-site (CSRF) trong năm 2015 và 7 500 USD khác cho một vấn đề tương tự trong năm 2016.

Quách Chí Cường

Đánh giá sao từ người đọc :
[ Tổng : 0 - Trung bình: 0 ]