Một lập trình viên chuyên về website đã khám phá ra một lỗi của mạng xã hội Facebook, theo đó nếu khai thác, kẻ tấn công có thể dễ dàng xoá bất kỳ ảnh của người khác trên mạng xã hội này.

Lỗi bảo mật của Facebook giúp bất kỳ ai đều có thể xoá ảnh của bạn

Cụ thể, lập trình viên Pouya Darabi đã khám phá và báo cáo lại một lỗi bảo mật cực kỳ hệ trọng với Facebook vào đầu tháng này. Lỗi sẽ giúp kẻ khai thác có thể xoá bất kỳ tấm ảnh nào trên mạng xã hội này.

Lỗi này nằm ở tính năng bình chọn (Poll) mới ra mắt gần đây. Poll cho phép người dùng tạo ra một bài đăng bình chọn với 2 ảnh, kể cả ảnh GIF động.

Darabi khám phá ra rằng khi tạo một bình chọn, mọi người đều có thể dễ dàng thay thế ID của ảnh (hay URL ảnh GIF) trong phần truy vấn gửi đến máy chủ Facebook bằng ID ảnh của bất kỳ tấm ảnh nào trên mạng xã hội này.

Tiếp đến, tấm ảnh đó sẽ nằm trên bài bình chọn. Và nếu người đăng đó xoá bài đi thì nó thậm chí xoá luôn cả ảnh nguồn, dù rằng tấm ảnh đó không phải do người tạo bình chọn đăng lên.

Video demo khả năng xoá ảnh người dùng khác trên Facebook 

YouTube video

Với việc báo cáo lỗi này, Darabi nói anh đã nhận được 10.000 USD vì đã báo lại cho mạng xã hội Facebook vào ngày 3/11. Mạng xã hội này vào hôm 5/11 đã khắc phục được lỗi trên. Đây không phải lần đầu Darabi báo lỗi và nhận thưởng từ Facebook, trước đây anh đã khám phá và báo cáo vài lỗi liên quan đến việc có thể xoá video, album ảnh và thông báo sửa đổi bình luận. Anh từng nhận được 15.000 USD vì đã vược qua được cơ chế bảo vệ chống truy cập chéo (CSRF) vào năm 2015, và nhận 7.500 USD cho việc khám phá một lỗi tương tự vào năm 2016.

Theo Thehackernews

Góc quảng cáo