-
3 lợi ích dịch vụ bảo mật được quản lý mang lại ch...
-
Dịch vụ bảo mật được quản lý: Giải pháp cho sự thi...
-
Kaspersky Managed Security Services đạt vị trí hàn...
-
Microsoft kêu gọi khách hàng bảo mật máy chủ Excha...
-
Hơn 134 triệu lượt tấn công các thiết bị IoT Realt...
-
ChatGPT có thể giúp hacker lập trình ra mã độc khô...
Phát hiện lỗi bảo mật khiến bạn mất fanpage Facebook
Một chuyên viên nghiên cứu bảo mật người Ấn Độ đã nhận 2.500 USD tiền thưởng từ Facebook nhờ phát hiện một lỗ hổng cho phép tin tặc chiếm quyền kiểm soát và cuỗm mất trang fanpe Facebook - những trang không liên quan đến một tài khoản người dùng cụ thể, mà là đại diện cho một doanh nghiệp và thường được quản lý bởi nhiều quản trị viên.
Laxman Muthiyah – 1 người Ấn Độ được mệnh danh là “thợ săn thưởng” nhờ tìm ra vô số lỗ hổng nghiêm trọng trên nền tảng mạng xã hội 1 tỷ thành viên. Chỉ trong năm nay, anh này đã phát hiện ra 3 lỗi nghiêm trọng tồn tại trên Facebook. Đầu năm 2015 là lỗ hổng trong đồ thị Facebook cho phép người khác xem hoặc xóa các bộ sưu tập ảnh trên Facebook mà không cần chứng thực. Tháng sau đó, Laxman phát hiện lỗi trong tính năng đồng bộ hóa hình ảnh Facbook Facebook (Photo Sync) tự động tải ảnh từ thiết bị di động đến bộ album Facebook cá nhân mà bạn bè hoặc chính chủ nhân tài khoản không nhìn thấy được. Bất kì ứng dụng bên thứ ba nào cũng có thể tury cập vào và đánh cắp hình ảnh riêng tư của mục tiêu từ tài khoản đồng bộ Facebook ẩn.
Và lỗi mới nhất trên nền tảng mạng xã hội đông dân nhất hành tinh này là nhắm vào các trang fabpage Facebook – được quản lý bởi nhiều người dùng khác nhau, đại diện cho doanh nghiệp hay tổ chức mà không phải tài khoản cá nhân. Lỗi này khiến các nạn nhân vĩnh viễn mất quyền quản trị viên của trang.
Cách phòng chống bị đánh cắp trang fanpage Facebook:
Ứng dụng bên thứ ba có khả năng thực hiện các quyền cài đặt thực thi như đăng trạng thái, đăng tải hình ảnh, tương tác nhiều nơi…..nhưng Facebook không cho phép các ứng dụng này thêm hoặc sửa đổi vai trò quyền quản trị của trang. Kẻ tấn công có thể lợi dụng lỗ hổng bảo mật nói trên gửi một chuỗi mã yêu cầu đơn giản để chiếm quyền quản trị trang Facebook nào đó như sau:
POST /PGID/userpermissions HTTP/1.1
Host: graph.facebook.com
Content-Length: 245
role=MANAGER&user=X&business=B&access_token=AAAA…
Ở đây, trang PGID thuộc về doanh nghiệp B, nơi một người có thể yêu cầu trang quản trị để biến người sử dụng ‘X’ chỉ định thành một quản trị viên của trang. Điều này có nghĩa là những thay đổi nhỏ trong các thông số yêu cầu có thể cho phép kẻ tấn công giành quyền kiểm soát hoàn toàn đối với trang Facebook của nạn nhân. Laxman cũng đã công bố một video miêu tả cách thức cuộc tấn công hoạt động
Mặc dù Facebook hiện đã khắc phục lỗ hổng này, nhưng người dùng cần phải luôn luôn cân nhắc và xem xét kỹ các điều khoản mà mình chấp thuận cho bất kỳ ứng dụng nào của bên thứ ba khi sử dụng.
Xuân Dung
Vui lòng trích dẫn nguồn Kaspersky Proguide khi sao chép bài viết
TIN CÙNG CHUYÊN MỤC
3 lợi ích dịch vụ bảo mật được quản lý m...
Dịch vụ bảo mật được quản lý: Giải pháp ...
Kaspersky Managed Security Services đạt ...
Microsoft kêu gọi khách hàng bảo mật máy...
Hơn 134 triệu lượt tấn công các thiết bị...
ChatGPT có thể giúp hacker lập trình ra ...
-
10 mẹo giữ cho dữ liệu đám mây của bạn được an toà...
-
Đảm bảo cho dữ liệu đám mây luôn an toàn và bảo mậ...
-
Microsoft phát hành bản vá lỗi tháng 1-2023 cảnh b...
-
Cửa hàng ứng dụng Samsung Galaxy Store bị lỗ hổng ...
-
Thông báo thời gian nghỉ lễ Tết Nguyên đán Quý Mão...
-
Microsoft kêu gọi khách hàng bảo mật máy chủ Excha...
-
3 lợi ích dịch vụ bảo mật được quản lý mang lại ch...
-
Dịch vụ bảo mật được quản lý: Giải pháp cho sự thi...
-
Kaspersky Managed Security Services đạt vị trí hàn...
-
Microsoft kêu gọi khách hàng bảo mật máy chủ Excha...
-
Hơn 134 triệu lượt tấn công các thiết bị IoT Realt...
-
ChatGPT có thể giúp hacker lập trình ra mã độc khô...
TAGS
LIÊN HỆ
