Phát hiện lỗi bảo mật khiến bạn mất fanpage Facebook

www.tuoitre.vn -   01/09/2015 01:00:00 2209

Một chuyên viên nghiên cứu bảo mật người Ấn Độ đã nhận 2.500 USD tiền thưởng từ Facebook nhờ phát hiện một lỗ hổng cho phép tin tặc chiếm quyền kiểm soát và cuỗm mất trang fanpe Facebook - những trang không liên quan đến một tài khoản người dùng cụ thể, mà là đại diện cho một doanh nghiệp và thường được quản lý bởi nhiều quản trị viên.

Phát hiện lỗi bảo mật khiến bạn mất fanpage Facebook

Laxman Muthiyah – 1 người Ấn Độ được mệnh danh là “thợ săn thưởng” nhờ tìm ra vô số lỗ hổng nghiêm trọng trên nền tảng mạng xã hội 1 tỷ thành viên. Chỉ trong năm nay, anh này đã phát hiện ra 3 lỗi nghiêm trọng tồn tại trên Facebook. Đầu năm 2015 là lỗ hổng trong đồ thị Facebook cho phép người khác xem hoặc xóa các bộ sưu tập ảnh trên Facebook mà không cần chứng thực. Tháng sau đó,  Laxman phát hiện lỗi trong tính năng đồng bộ hóa hình ảnh Facbook Facebook (Photo Sync) tự động tải ảnh từ thiết bị di động đến bộ album Facebook cá nhân mà bạn bè hoặc chính chủ nhân tài khoản không nhìn thấy được. Bất kì ứng dụng bên thứ ba nào cũng có thể tury cập vào và đánh cắp hình ảnh riêng tư của mục tiêu từ tài khoản đồng bộ Facebook ẩn.

Và lỗi mới nhất trên nền tảng mạng xã hội đông dân nhất hành tinh này là nhắm vào các trang fabpage Facebook – được quản lý bởi nhiều người dùng khác nhau, đại diện cho doanh nghiệp hay tổ chức mà không phải tài khoản cá nhân. Lỗi này khiến các nạn nhân vĩnh viễn mất quyền quản trị viên của trang.

Cách phòng chống bị đánh cắp trang fanpage Facebook:

Phát hiện lỗi bảo mật khiến bạn mất fanpage Facebook

Ứng dụng bên thứ ba có khả năng thực hiện các quyền cài đặt thực thi như đăng trạng thái, đăng tải hình ảnh, tương tác nhiều nơi…..nhưng Facebook không cho phép các ứng dụng này thêm hoặc sửa đổi vai trò quyền quản trị của trang. Kẻ tấn công có thể lợi dụng lỗ hổng bảo mật nói trên gửi một chuỗi mã yêu cầu đơn giản để chiếm quyền quản trị trang Facebook nào đó như sau:

POST /PGID/userpermissions HTTP/1.1

Host: graph.facebook.com

Content-Length: 245

role=MANAGER&user=X&business=B&access_token=AAAA…

Ở đây, trang PGID thuộc về doanh nghiệp B, nơi một người có thể yêu cầu trang quản trị để biến người sử dụng ‘X’ chỉ định thành một quản trị viên của trang. Điều này có nghĩa là những thay đổi nhỏ trong các thông số yêu cầu có thể cho phép kẻ tấn công giành quyền kiểm soát hoàn toàn đối với trang Facebook của nạn nhân. Laxman cũng đã công bố một video miêu tả cách thức cuộc tấn công hoạt động

 Mặc dù Facebook hiện đã khắc phục lỗ hổng này, nhưng người dùng cần phải luôn luôn cân nhắc và xem xét kỹ các điều khoản mà mình chấp thuận cho bất kỳ ứng dụng nào của bên thứ ba khi sử dụng.

Xuân Dung

Vui lòng trích dẫn nguồn Kaspersky Proguide khi sao chép bài viết

TIN CÙNG CHUYÊN MỤC

3 lợi ích dịch vụ bảo mật được quản lý m...

06/02/2023 08:00:00 92
Nếu một doanh nghiệp chỉ phụ thuộc vào đội ngũ CNTT để xử lý toàn bộ các vấn đề liên quan đến bảo mậ...

Dịch vụ bảo mật được quản lý: Giải pháp ...

03/02/2023 08:00:00 77
Công ty an ninh mạng toàn cầu Kaspersky mới đây đã chia sẻ bối cảnh về Managed Security Service Prov...

Kaspersky Managed Security Services đạt ...

02/02/2023 08:00:00 79
Managed Security Services (MSS – Dịch vụ bảo mật được quản lý) toàn diện của Kaspersky vừa được công...

Microsoft kêu gọi khách hàng bảo mật máy...

31/01/2023 08:00:00 126
Microsoft đang kêu gọi khách hàng cập nhật máy chủ Exchange của họ cũng như thực hiện các bước để củ...

Hơn 134 triệu lượt tấn công các thiết bị...

30/01/2023 08:00:00 123
Các nhà nghiên cứu bảo mật đang cảnh báo về sự gia tăng đột biến các nỗ lực khai thác tấn công lỗ hổ...

ChatGPT có thể giúp hacker lập trình ra ...

27/01/2023 12:00:00 89
Thay vì phải tốn công sức tìm kiếm thông tin trên các diễn đàn hay thư viện dành cho nhà phát triển ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ