Lỗ hổng của Facebook cho phép bất kỳ ai cũng có thể xóa được hình ảnh của bạn


Nếu bạn nghĩ rằng một website có giá trị hơn 500 tỷ USD như Facebook sẽ không có bất kỳ lỗ hổng nào, thì bạn đã sai. Pouya Darabi - một nhà phát triển web của Iran đã phát hiện và báo cáo một lỗ hổng đơn giản nhưng quan trọng trên Facebook vào đầu tháng 11. Lỗ hổng này cho phép bất cứ người dùng nào cũng được quyền xóa những hình ảnh mà bạn đã đăng. Dưới đây là video chứng minh điều đó.


Lỗ hổng được xác định nằm trong tính năng Poll (bầu chọn) mới của Facebook. Đây là tính năng được giới thiệu với người dùng vào đầu tháng này, giúp đăng tải các cuộc thăm dò bao gồm hình ảnh và hình động GIF.

Darabi đã phân tích tính năng này và nhận thấy rằng khi tạo một cuộc thăm dò ý kiến mới, bất cứ ai cũng có thể dễ dàng thay thế ID hình ảnh (hoặc URL gif) trong request (yêu cầu) gửi tới máy chủ Facebook bằng ID hình ảnh của bất kỳ bức ảnh nào trên mạng xã hội.

Cụ thể như sau:
Theo thôn tin cho biết, Darabi đã nhận được 10.000 USD tiền thưởng từ Facebook sau khi báo cáo về lỗ hổng này lên mạng vào ngày 3 tháng 11. Facebook đã kịp thời vá lỗi vào ngày 5 tháng 11. Đây không phải là lần đầu tiên Facebook gặp phải vấn đề này. Trước đây, các nhà nghiên cứu đã phát hiện và báo cáo một số vấn đề tương tự như xóa video, album ảnh, sửa đổi comment hay tin nhắn mà không được phép.

Trước đó, Darabi từng nhận được khoản thưởng trị giá 15.000 USD khi vượt qua được hệ thống bảo mật cross-site (CSRF) (năm 2015) và 7,500 đô la khác cho một vấn đề tương tự (năm 2016).

Ngô Viết Hùng - Via The Hacker News
Bài viết liên quan:

Nguồn: http://www.techrum.vn/threads/l-hng-cua-facebook-cho-phep-bat-ky-ai-cung-co-th-xoa-duc-hinh-anh-cua-ban.163389/

TIN LIÊN QUAN

Phát hiện lỗi bảo mật khiến mọi tài khoản Facebook có thể bị hack

Một nhà nghiên cứu máy tính người Ấn Độ vừa phát hiện ra lỗi bảo mật nghiêm trọng trên Facebook tạo kẽ hở cho tin tặc dễ dàng xâm nhập tài khoản người dùng.

Lỗi bảo mật khiến mọi tài khoản Facebook dễ dàng bị đánh cắp

Chuyên gia bảo mật người Ấn Độ Anand Prakash mới đây vừa phát hiện ra một lỗi an ninh trên mạng xã hội Facebook có thể cho phép hacker dễ dàng đánh cắp mọi tài khoản nếu...

Tin tặc phát hiện cách thâm nhập vào bất cứ tài khoản Facebook nào

(ICTPress) - Mất 72 giờ, Anand Prakash, một tin tặc sống ở Ấn Độ đã có thể thâm nhập vào bất cứ tài khoản nào tin tặc này muốn, Tech Insider cho biết.

Hack tài khoản Facebook bằng cách quên mật khẩu

Với số lượng người dùng đông đảo, việc Facebook trở thành miếng mồi béo bở của tin tặc cũng là điều dễ hiểu.

Hacker hé lộ cách hack mọi tài khoản Facebook

Lỗ hổng trên mạng xã hội lớn nhất thế giới cho phép người dùng có thể lấy mật khẩu của bất kỳ tài khoản nào. Hiện lỗi này đã được vá.

Facebook sửa lỗi XSS cho phép chiếm quyền sử dụng tài khoản

Chuyên gia bảo mật người Anh Jack Whitton mới đây đã phát hiện một lỗ hổng XSS (chèn mã độc vào web động) cho phép hacker sử dụng ảnh PNG có chứa mã độc để chiếm thông tin người dùng.

Nhóm hacker mũ trắng Ấn Độ tuyên bố đã Hack thành công Facebook

Nhóm hacker mũ trắng Ấn Độ tuyên bố đã phát hiện một số trang beta của Facebook không có tính năng giới hạn số lần nhập mã xác nhận khi reset mật khẩu, cho phép họ tiến hành dò mã...

THỦ THUẬT HAY

Cách khắc phục lỗi iPhone không có “điểm truy cập cá nhân”

Thời gian gần đây, sau khi Thánh SIM Vietnamobile ra mắt thì nhiều bạn phản ánh rằng không thể phát 3G được nếu sử dụng SIM này trên iPhone.

Khắc phục các lỗi do Flash hiệu quả nhất - Phần 1

Chắc chắn đã có đôi lúc người dùng máy tính đang cảm thấy khá khó chịu và bất lực trong việc khắc phục các lỗi khi sử dụng trình duyệt web, đặc biệt là các lỗi có liên quan tới tiện ích Adobe Flash Player.

Cách chèn checkbox trong Excel mới nhất

Rất nhiều người đã từng đặt câu hỏi 'Làm sao để thêm một ô tick (checkbox) trong Excel?' hay 'Làm sao để thể hiện dữ liệu dưới dạng checkbox?'. Sau đây là một trong số rất nhiều giải pháp mà bạn có thể làm trong Excel.

7 trình duyệt web đặc biệt có lẽ bạn chưa từng khám phá

Top 7 trình duyệt đặc biệt mà có thể bạn chưa từng khám phá dưới đây mang đến cho bạn trải nghiệm duyệt web độc đáo mà bạn không thể tìm thấy trên những trình duyệt phổ biến.

Cách xem lại lời mời kết bạn đã gửi, đã nhận trên Zalo cực đơn giản

Hướng dẫn bạn cách xem lại lời mời kết bạn đã gửi, đã nhận trên Zalo một cách nhanh chóng và cực kỳ đơn giản. Click xem ngay nhé!

ĐÁNH GIÁ NHANH

Loa Bluetooth du lịch TRONSMART BANG: Sự lựa chọn tốt nhất cho bữa tiệc của bạn ?

Loa Bluetooth TRONSMART BANG là thế hệ loa di động mới nhất trong dòng Loa du lịch, được trang bị 2 subwoofers và 2 tweeter tổng công suất tối đa 60W, Có khả năng ghép đôi 100 loa cùng lúc cho âm thanh sống động hơn,

So sánh iPhone 13 Pro Max và Samsung Galaxy Z Fold3 5G: Chênh nhau 5 – 6 triệu nên mua flagship nào?

Apple có iPhone 13 Pro Max, Samsung có Galaxy Z Fold3 5G đều là hai mẫu flagship hàng đầu hiện nay. Tuy nhiên, giá bán giữa hai thiết bị chênh nhau khá lớn khiến nhiều người băn khoăn không biết nên chọn mua điện thoại