Lỗi Facebook mới cho phép bất kỳ ai xóa ảnh của bạn

28/11/2017 11:00:00

Một lỗi Facebook mới vừa được phát hiện có thể giúp bất kỳ người nào xóa ảnh của người dùng khác dù không sở hữu ảnh đó.

Một nhà phát triển Web người Iran tên Pouya Darabi vừa phát hiện ra một lỗi nguy hiểm mới trên mạng xã hội khổng lồ Facebook và nhanh chóng báo cho hãng vào đầu tháng này. Được biết lỗi nghiêm trọng này cho phép bất kỳ ai có thể xóa bất kỳ tấm ảnh nào của người dùng khác trên nền tảng mạng xã hội.

Lỗ hổng bảo mật nằm trong tính năng mới Poll của Facebook được giới truyền thông chú ý vào đầu tháng này. Tính năng có thể tạo các cuộc điều tra, thăm dò ý kiến người dùng bao gồm hình ảnh và các loại hình động.

Darabi đã phân tích tính năng này và nhận thấy một vấn đề. Khi tạo một cuộc khảo sát mới, bất cứ ai cũng có thể dễ dàng thay thế ID hình ảnh hoặc URL của hình động Gif trong yêu cầu gửi đến máy chủ Facebook bằng một ID hình ảnh của bất kỳ ảnh nào có trên mạng xã hội.

Anh cũng đã làm một video minh họa cho vấn đề mà mình phát hiện.

Sau khi gửi yêu cầu với ID của một hình ảnh của người dùng khác, hình ảnh này có thể xuất hiện trên bản khảo sát. Lúc này, nếu người thực hiện cuộc khảo sát xóa đi bài đăng của mình, như minh họa ở video trên, nó cũng sẽ xóa luôn hình ảnh gốc (từ ID hình ảnh của người dùng khác) được thêm vào khảo sát. Mặc dù chủ nhân của cuộc khảo sát đó không phải là chủ nhân của hình ảnh đó đi nữa.

Nhà nghiên cứu bảo mật cho hay rằng mình đã nhận được 10.000 USD tiền thưởng từ khi Facebook sau khi ông thông báo lỗ hổng này cho mạng xã hội khổng lồ này vào ngày 3/11. Và Facebook cũng đã nhanh chóng vá lỗi này vào ngày 5/11.

Đây không phải là lần đầu tiên mà Facebook gặp phải vấn đề này. Trước đây các nhà nghiên cứu bảo mật cũng đã phát hiện và báo cáo một số vấn đề cho phép họ xóa video, album ảnh và nhận xét, sửa đổi tin nhắn ngay trên mạng xã hội.

Trước đó, Darabi cũng đã nhận được khoản tiền thưởng trị giá 15.000 USD trong chương trình Rà soát lỗi bỏ qua hệ thống bảo vệ yêu cầu cross-site (CSRF) vào năm 2015 và 7.500 USD khác cho một vấn đề tương tự vào năm 2016.

Minh Hương