Lỗ hổng của Facebook cho phép bất kỳ ai cũng có thể xóa được hình ảnh của bạn


Nếu bạn nghĩ rằng một website có giá trị hơn 500 tỷ USD như Facebook sẽ không có bất kỳ lỗ hổng nào, thì bạn đã sai. Pouya Darabi - một nhà phát triển web của Iran đã phát hiện và báo cáo một lỗ hổng đơn giản nhưng quan trọng trên Facebook vào đầu tháng 11. Lỗ hổng này cho phép bất cứ người dùng nào cũng được quyền xóa những hình ảnh mà bạn đã đăng. Dưới đây là video chứng minh điều đó.


Lỗ hổng được xác định nằm trong tính năng Poll (bầu chọn) mới của Facebook. Đây là tính năng được giới thiệu với người dùng vào đầu tháng này, giúp đăng tải các cuộc thăm dò bao gồm hình ảnh và hình động GIF.

Darabi đã phân tích tính năng này và nhận thấy rằng khi tạo một cuộc thăm dò ý kiến mới, bất cứ ai cũng có thể dễ dàng thay thế ID hình ảnh (hoặc URL gif) trong request (yêu cầu) gửi tới máy chủ Facebook bằng ID hình ảnh của bất kỳ bức ảnh nào trên mạng xã hội.

Cụ thể như sau:
Theo thôn tin cho biết, Darabi đã nhận được 10.000 USD tiền thưởng từ Facebook sau khi báo cáo về lỗ hổng này lên mạng vào ngày 3 tháng 11. Facebook đã kịp thời vá lỗi vào ngày 5 tháng 11. Đây không phải là lần đầu tiên Facebook gặp phải vấn đề này. Trước đây, các nhà nghiên cứu đã phát hiện và báo cáo một số vấn đề tương tự như xóa video, album ảnh, sửa đổi comment hay tin nhắn mà không được phép.

Trước đó, Darabi từng nhận được khoản thưởng trị giá 15.000 USD khi vượt qua được hệ thống bảo mật cross-site (CSRF) (năm 2015) và 7,500 đô la khác cho một vấn đề tương tự (năm 2016).

Ngô Viết Hùng - Via The Hacker News
Bài viết liên quan:

Nguồn: http://www.techrum.vn/threads/l-hng-cua-facebook-cho-phep-bat-ky-ai-cung-co-th-xoa-duc-hinh-anh-cua-ban.163389/

TIN LIÊN QUAN

Phát hiện lỗi bảo mật khiến mọi tài khoản Facebook có thể bị hack

Một nhà nghiên cứu máy tính người Ấn Độ vừa phát hiện ra lỗi bảo mật nghiêm trọng trên Facebook tạo kẽ hở cho tin tặc dễ dàng xâm nhập tài khoản người dùng.

Lỗi bảo mật khiến mọi tài khoản Facebook dễ dàng bị đánh cắp

Chuyên gia bảo mật người Ấn Độ Anand Prakash mới đây vừa phát hiện ra một lỗi an ninh trên mạng xã hội Facebook có thể cho phép hacker dễ dàng đánh cắp mọi tài khoản nếu...

Tin tặc phát hiện cách thâm nhập vào bất cứ tài khoản Facebook nào

(ICTPress) - Mất 72 giờ, Anand Prakash, một tin tặc sống ở Ấn Độ đã có thể thâm nhập vào bất cứ tài khoản nào tin tặc này muốn, Tech Insider cho biết.

Hack tài khoản Facebook bằng cách quên mật khẩu

Với số lượng người dùng đông đảo, việc Facebook trở thành miếng mồi béo bở của tin tặc cũng là điều dễ hiểu.

Hacker hé lộ cách hack mọi tài khoản Facebook

Lỗ hổng trên mạng xã hội lớn nhất thế giới cho phép người dùng có thể lấy mật khẩu của bất kỳ tài khoản nào. Hiện lỗi này đã được vá.

Facebook sửa lỗi XSS cho phép chiếm quyền sử dụng tài khoản

Chuyên gia bảo mật người Anh Jack Whitton mới đây đã phát hiện một lỗ hổng XSS (chèn mã độc vào web động) cho phép hacker sử dụng ảnh PNG có chứa mã độc để chiếm thông tin người dùng.

Nhóm hacker mũ trắng Ấn Độ tuyên bố đã Hack thành công Facebook

Nhóm hacker mũ trắng Ấn Độ tuyên bố đã phát hiện một số trang beta của Facebook không có tính năng giới hạn số lần nhập mã xác nhận khi reset mật khẩu, cho phép họ tiến hành dò mã...

THỦ THUẬT HAY

Thêm cách hẹn giờ tắt nhạc trên điện thoại Android bạn không nên bỏ qua

Bạn thường xuyên sử dụng điện thoại để nghe nhạc trước khi ngủ. Trong một số trường hợp, bạn lại ngủ quên và quên tắt điện thoại khiến nhạc phát tự động, làm hao pin điện thoại của bạn.

Một số mẹo giúp bạn kiểm tra điện thoại có hỗ trợ 5G không

Viettel đã chính thức thử nghiệm mạng 5G tại Việt Nam và chỉ cần một vài thao tác đơn giản các bạn đã có thể kiểm tra điện thoại có hỗ trợ 5G không. Từ đó có kế hoạch đúng đắn khi sắm điện thoại vào dịp cuối năm nay

Cách chat và đăng status bằng icon "Con chim lắc đầu"

'Con chim lắc đầu' là cách mình gọi vui cho bộ icon 'Bồ câu thành phố' vừa xuất hiện trên Facebook Messenger. Ở bài viết này, mình sẽ hướng dẫn...

Làm thế nào để xem mọi thứ mà Google "biết" về bạn?

Việc Google biết nhiều thông tin về người dùng không còn là bí mật nữa. Gã khổng lồ công nghệ thu thập “hàng tấn” dữ liệu về người dùng, bao gồm cả lịch sử tìm kiếm, vị trí, và giọng nói của người dùng để giúp cải

Học vẽ đơn giản bằng thực tế tăng cường thông qua chiếc smartphone

Ý tưởng cũng khá đơn giản: trước tiên bạn vẽ một vài dấu cộng ( + ) hoặc hình tròn lên giấy, tường hoặc... mặt của đứa nào dám ngủ khi bạn còn thức và chĩa camera thẳng vào đó.

ĐÁNH GIÁ NHANH

So sánh Honda CR-V 5+2 và Mazda CX-5: Lựa chọn nào phù hợp với bạn?

Câu hỏi trên có lẽ cần nhiều năm bán hàng để khẳng định. Và khi trong phân khúc compact SUV ngày càng phát triển thì cả hai mẫu xe gia đình tiêu biểu trên đều xứng đáng được lựa chọn.

Đánh giá chi tiết Mercedes-Maybach S450 2018

Trong khuôn khổ sự kiện Mercedes-Benz Fascination 2018 vừa diễn ra, đại diện của hãng xe Đức đã chia sẻ những con số rất ấn tượng: Đã có hơn 300 đơn đặt hàng dành cho các mẫu S-Class phiên bản