Hàng loạt lỗi bảo mật trên Instagram mới được phát hiện

Hàng loạt lỗ hổng bảo mật, lỗ hổng cấu hình trên Instagram đã được một chuyên gia nghiên cứu bảo mật phát hiện. Anh cũng tìm được cách hack thông tin nhạy cảm trên chính máy chủ của Instagram.

Wesley Weinberg là chuyên gia nghiên cứu bảo mật đã kiếm được khá nhiều tiền từ chương trình tìm lỗi bảo mật của Facebook. Mới đây, anh cho biết mình vừa phát hiện hàng loạt lỗ hổng trên trang mạng xã hội hình ảnh Instagram (cũng trực thuộc Facebook sau thương vụ mua lại sản phẩm này). Những lỗi bảo mật này cho phép kẻ tấn công truy cập vào các thông tin trên máy chủ Instagram như:

- Mã nguồn của trang web e Instagram

 - Chứng chỉ SSL và mã khóa riêng tư của Instagram

- Mã khóa sử dụng để kí cookie xác thực

- Thông tin chi tiết của người dùng Instagram và nhân viên công ty.

- Tài khoản email máy chủ

- Mã khóa dành cho nhiều tính năng quan trọng khác

Cụ thể, lỗ hổng RCE (Remote Code Execution) nằm trong cách xử lý cookie phiên làm việc của người dùng. Nó thường được dùng để ghi nhớ thành viên đã đăng nhập. Lỗ hổng thực thi mã từ xa bắt nguồn từ các điểm yếu trong:

- Ứng dụng web Sensu-Admin chạy trên máy chủ chứa hard-coded token bí mật Ruby

- Host chạy phiên bản Ruby (3.x)  dễ bị ảnh hưởng bởi thực thi mã từ xa thông qua Ruby session cookie

Từ việc khai thác lỗ hổng, Wesley đã khiến máy chủ Instagarm truy xuất các cơ sở dữ liệu chứa các thông tin chi tiết đăng nhập và tài khoản của nhân viên viên Instagram + Facebook. Mặc dù mật khẩu trích xuất được mã hóa với “bcrypt”, hacker vẫn có thể bẻ khóa mật khẩu chỉ trong vài phút. Không chỉ có ảnh hưởng trên mạng xã hội, những khai thác lỗ hổng trên có thể giúp cho hacker truy cập và dịch vụ web của Amazone liên đới, dịch vụ điện toán đám mây lưu trữ cài đặt  Sensu của Instagram.

Wesley Weinberg đã được Facebook xác thực và hứa trao tiền thưởng là 2.500 USD (hơn 56 triệu đồng) cùng với người bạn của mình. Tuy nhiên, việc nghiên cứu và thực hiện chứng minh lỗ hổng trên đã khiến Wesley truy cập vào dữ liệu nhạy cảm. Việc này đã vi phạm quyền riêng tư người dùng và chính anh lại đang đối mặt với nguy cơ bị kiện từ Facebook. 

Xuân Dung – Theo TechWorm

Có thể bạn quan tâm:

kaspersky, kaspersky vietnam, phần mềm kaspersky, ban software kaspersky, download kaspersky, download phần mềm kaspersky, kaspersky 2015, kaspersky tiếng việt, tải Kaspersky, tải phần mềm diệt virus kaspersky, tải phần mềm kaspersky