Lỗ hổng của Facebook cho phép bất kỳ ai cũng có thể xóa được hình ảnh của bạn


Nếu bạn nghĩ rằng một website có giá trị hơn 500 tỷ USD như Facebook sẽ không có bất kỳ lỗ hổng nào, thì bạn đã sai. Pouya Darabi - một nhà phát triển web của Iran đã phát hiện và báo cáo một lỗ hổng đơn giản nhưng quan trọng trên Facebook vào đầu tháng 11. Lỗ hổng này cho phép bất cứ người dùng nào cũng được quyền xóa những hình ảnh mà bạn đã đăng. Dưới đây là video chứng minh điều đó.


Lỗ hổng được xác định nằm trong tính năng Poll (bầu chọn) mới của Facebook. Đây là tính năng được giới thiệu với người dùng vào đầu tháng này, giúp đăng tải các cuộc thăm dò bao gồm hình ảnh và hình động GIF.

Darabi đã phân tích tính năng này và nhận thấy rằng khi tạo một cuộc thăm dò ý kiến mới, bất cứ ai cũng có thể dễ dàng thay thế ID hình ảnh (hoặc URL gif) trong request (yêu cầu) gửi tới máy chủ Facebook bằng ID hình ảnh của bất kỳ bức ảnh nào trên mạng xã hội.

Cụ thể như sau:
Theo thôn tin cho biết, Darabi đã nhận được 10.000 USD tiền thưởng từ Facebook sau khi báo cáo về lỗ hổng này lên mạng vào ngày 3 tháng 11. Facebook đã kịp thời vá lỗi vào ngày 5 tháng 11. Đây không phải là lần đầu tiên Facebook gặp phải vấn đề này. Trước đây, các nhà nghiên cứu đã phát hiện và báo cáo một số vấn đề tương tự như xóa video, album ảnh, sửa đổi comment hay tin nhắn mà không được phép.

Trước đó, Darabi từng nhận được khoản thưởng trị giá 15.000 USD khi vượt qua được hệ thống bảo mật cross-site (CSRF) (năm 2015) và 7,500 đô la khác cho một vấn đề tương tự (năm 2016).

Ngô Viết Hùng - Via The Hacker News
Bài viết liên quan:

Nguồn: http://www.techrum.vn/threads/l-hng-cua-facebook-cho-phep-bat-ky-ai-cung-co-th-xoa-duc-hinh-anh-cua-ban.163389/

TIN LIÊN QUAN

Phát hiện lỗi bảo mật khiến mọi tài khoản Facebook có thể bị hack

Một nhà nghiên cứu máy tính người Ấn Độ vừa phát hiện ra lỗi bảo mật nghiêm trọng trên Facebook tạo kẽ hở cho tin tặc dễ dàng xâm nhập tài khoản người dùng.

Lỗi bảo mật khiến mọi tài khoản Facebook dễ dàng bị đánh cắp

Chuyên gia bảo mật người Ấn Độ Anand Prakash mới đây vừa phát hiện ra một lỗi an ninh trên mạng xã hội Facebook có thể cho phép hacker dễ dàng đánh cắp mọi tài khoản nếu...

Tin tặc phát hiện cách thâm nhập vào bất cứ tài khoản Facebook nào

(ICTPress) - Mất 72 giờ, Anand Prakash, một tin tặc sống ở Ấn Độ đã có thể thâm nhập vào bất cứ tài khoản nào tin tặc này muốn, Tech Insider cho biết.

Hack tài khoản Facebook bằng cách quên mật khẩu

Với số lượng người dùng đông đảo, việc Facebook trở thành miếng mồi béo bở của tin tặc cũng là điều dễ hiểu.

Hacker hé lộ cách hack mọi tài khoản Facebook

Lỗ hổng trên mạng xã hội lớn nhất thế giới cho phép người dùng có thể lấy mật khẩu của bất kỳ tài khoản nào. Hiện lỗi này đã được vá.

Facebook sửa lỗi XSS cho phép chiếm quyền sử dụng tài khoản

Chuyên gia bảo mật người Anh Jack Whitton mới đây đã phát hiện một lỗ hổng XSS (chèn mã độc vào web động) cho phép hacker sử dụng ảnh PNG có chứa mã độc để chiếm thông tin người dùng.

Nhóm hacker mũ trắng Ấn Độ tuyên bố đã Hack thành công Facebook

Nhóm hacker mũ trắng Ấn Độ tuyên bố đã phát hiện một số trang beta của Facebook không có tính năng giới hạn số lần nhập mã xác nhận khi reset mật khẩu, cho phép họ tiến hành dò mã...

THỦ THUẬT HAY

Gần triệu người dùng bị lấy tài khoản khi mở Google Docs đính kèm trong Gmail

Trong thời gian gần đây, khá nhiều người dùng nhận được email với file Google Doc đính kèm, nếu bạn thấy một email tương tự thì đừng mở file này ra.

Image Transfer – Chuyển nhanh hình ảnh và video giữa iPhone và máy tính không cần cắm dây

Giải pháp mới trong việc chuyển hình ảnh và video giữa iPhone với iPhone và máy tính.

Cách đăng nhập Zalo qua tài khoản Facebook trên PC

Trên bản Zalo cho máy tính có thêm tính năng đăng nhập tài khoản thông qua Facebook. Thông qua số điện thoại liên kết giữa 2 dịch vụ, chúng ta có thể đăng nhập Zalo nhanh chóng.

Cách chặn yêu cầu hiển thị thông báo trên các trình duyệt

Mỗi lần truy cập một trang web lại có một hộp nhỏ xuất hiện hỏi bạn về quyền hiển thị thông báo. Bạn có thấy phiền phức với điều này không? Nếu có, hãy vô hiệu hóa nó trên các trình duyệt phổ biến theo hướng dẫn sau

Cách nhắn tin đăng ký tiêm vaccine Covid-19 trên điện thoại của bạn

Cách nhắn tin đăng ký tiêm vaccine Covid-19 trên điện thoại cực nhanh cho người dân trên 18 tuổi chưa được tiêm mũi 1 tại Thành phố Hồ Chí Minh. Hãy theo dõi ngay.

ĐÁNH GIÁ NHANH

Mở hộp & đánh giá Infinix Zero 4: Sản phẩm tuyệt vời nhất của Infinix

Zero 4 là mẫu smartphone mới nhất của Infinix tại thị trường Việt Nam. Sản phẩm này tập trung vào thiết kế sang trọng, màn hình chất lượng cao, cụm camera chính 16 MP sử dụng công nghệ lấy nét bằng laser và hỗ trợ

Đánh giá loa di động Dali Katch: Trong trẻo và uy lực

Dali Katch là sản phẩm đầu tiên đánh dấu sự hiện diện của hãng âm thanh Đan Mạch Dali...