Phát hiện lỗi bảo mật khiến bạn mất fanpage Facebook

www.tuoitre.vn -   01/09/2015 01:00:00 2562

Một chuyên viên nghiên cứu bảo mật người Ấn Độ đã nhận 2.500 USD tiền thưởng từ Facebook nhờ phát hiện một lỗ hổng cho phép tin tặc chiếm quyền kiểm soát và cuỗm mất trang fanpe Facebook - những trang không liên quan đến một tài khoản người dùng cụ thể, mà là đại diện cho một doanh nghiệp và thường được quản lý bởi nhiều quản trị viên.

Phát hiện lỗi bảo mật khiến bạn mất fanpage Facebook

Laxman Muthiyah – 1 người Ấn Độ được mệnh danh là “thợ săn thưởng” nhờ tìm ra vô số lỗ hổng nghiêm trọng trên nền tảng mạng xã hội 1 tỷ thành viên. Chỉ trong năm nay, anh này đã phát hiện ra 3 lỗi nghiêm trọng tồn tại trên Facebook. Đầu năm 2015 là lỗ hổng trong đồ thị Facebook cho phép người khác xem hoặc xóa các bộ sưu tập ảnh trên Facebook mà không cần chứng thực. Tháng sau đó,  Laxman phát hiện lỗi trong tính năng đồng bộ hóa hình ảnh Facbook Facebook (Photo Sync) tự động tải ảnh từ thiết bị di động đến bộ album Facebook cá nhân mà bạn bè hoặc chính chủ nhân tài khoản không nhìn thấy được. Bất kì ứng dụng bên thứ ba nào cũng có thể tury cập vào và đánh cắp hình ảnh riêng tư của mục tiêu từ tài khoản đồng bộ Facebook ẩn.

Và lỗi mới nhất trên nền tảng mạng xã hội đông dân nhất hành tinh này là nhắm vào các trang fabpage Facebook – được quản lý bởi nhiều người dùng khác nhau, đại diện cho doanh nghiệp hay tổ chức mà không phải tài khoản cá nhân. Lỗi này khiến các nạn nhân vĩnh viễn mất quyền quản trị viên của trang.

Cách phòng chống bị đánh cắp trang fanpage Facebook:

Phát hiện lỗi bảo mật khiến bạn mất fanpage Facebook

Ứng dụng bên thứ ba có khả năng thực hiện các quyền cài đặt thực thi như đăng trạng thái, đăng tải hình ảnh, tương tác nhiều nơi…..nhưng Facebook không cho phép các ứng dụng này thêm hoặc sửa đổi vai trò quyền quản trị của trang. Kẻ tấn công có thể lợi dụng lỗ hổng bảo mật nói trên gửi một chuỗi mã yêu cầu đơn giản để chiếm quyền quản trị trang Facebook nào đó như sau:

POST /PGID/userpermissions HTTP/1.1

Host: graph.facebook.com

Content-Length: 245

role=MANAGER&user=X&business=B&access_token=AAAA…

Ở đây, trang PGID thuộc về doanh nghiệp B, nơi một người có thể yêu cầu trang quản trị để biến người sử dụng ‘X’ chỉ định thành một quản trị viên của trang. Điều này có nghĩa là những thay đổi nhỏ trong các thông số yêu cầu có thể cho phép kẻ tấn công giành quyền kiểm soát hoàn toàn đối với trang Facebook của nạn nhân. Laxman cũng đã công bố một video miêu tả cách thức cuộc tấn công hoạt động

 Mặc dù Facebook hiện đã khắc phục lỗ hổng này, nhưng người dùng cần phải luôn luôn cân nhắc và xem xét kỹ các điều khoản mà mình chấp thuận cho bất kỳ ứng dụng nào của bên thứ ba khi sử dụng.

Xuân Dung

Vui lòng trích dẫn nguồn Kaspersky Proguide khi sao chép bài viết

TIN CÙNG CHUYÊN MỤC

Lỗ hổng bảo mật khiến kẻ xấu hack hệ thố...

01/11/2024 12:00:00 48
Dạng lỗ hổng này cho phép kẻ tấn công khai thác các thiết bị Synology mà không yêu cầu người dùng mở...

Chiến dịch quảng cáo độc hại chiếm đoạt ...

31/10/2024 08:00:00 50
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại đang diễn ra, lợi d...

Nghiên cứu mới tiết lộ lỗ hổng Spectre v...

30/10/2024 08:00:00 48
Hơn sáu năm sau khi lỗ hổng bảo mật Spectre ảnh hưởng đến bộ xử lý CPU hiện đại được phát hiện, một ...

Kaspersky phát hiện biến thể Lite mới củ...

29/10/2024 08:00:00 46
Tại Hội nghị thượng đỉnh phân tích bảo mật (SAS) 2024, Nhóm nghiên cứu và phân tích toàn cầu của Kas...

Trình duyệt Opera sửa lỗ hổng bảo mật lớ...

28/10/2024 08:00:00 33
Một lỗ hổng bảo mật hiện đã được vá trong trình duyệt web Opera có thể cho phép tiện ích mở rộng độc...

Apple mở mã nguồn PCC cho các nhà nghiên...

24/10/2024 12:00:00 33
Apple đã công khai cung cấp Môi trường nghiên cứu ảo (VRE) Private Cloud Compute (PCC), cho phép cộn...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ

Zalo Button