Phát hiện lỗi bảo mật khiến bạn mất fanpage Facebook
Một chuyên viên nghiên cứu bảo mật người Ấn Độ đã nhận 2.500 USD tiền thưởng từ Facebook nhờ phát hiện một lỗ hổng cho phép tin tặc chiếm quyền kiểm soát và cuỗm mất trang fanpe Facebook - những trang không liên quan đến một tài khoản người dùng cụ thể, mà là đại diện cho một doanh nghiệp và thường được quản lý bởi nhiều quản trị viên.
Laxman Muthiyah – 1 người Ấn Độ được mệnh danh là “thợ săn thưởng” nhờ tìm ra vô số lỗ hổng nghiêm trọng trên nền tảng mạng xã hội 1 tỷ thành viên. Chỉ trong năm nay, anh này đã phát hiện ra 3 lỗi nghiêm trọng tồn tại trên Facebook. Đầu năm 2015 là lỗ hổng trong đồ thị Facebook cho phép người khác xem hoặc xóa các bộ sưu tập ảnh trên Facebook mà không cần chứng thực. Tháng sau đó, Laxman phát hiện lỗi trong tính năng đồng bộ hóa hình ảnh Facbook Facebook (Photo Sync) tự động tải ảnh từ thiết bị di động đến bộ album Facebook cá nhân mà bạn bè hoặc chính chủ nhân tài khoản không nhìn thấy được. Bất kì ứng dụng bên thứ ba nào cũng có thể tury cập vào và đánh cắp hình ảnh riêng tư của mục tiêu từ tài khoản đồng bộ Facebook ẩn.
Và lỗi mới nhất trên nền tảng mạng xã hội đông dân nhất hành tinh này là nhắm vào các trang fabpage Facebook – được quản lý bởi nhiều người dùng khác nhau, đại diện cho doanh nghiệp hay tổ chức mà không phải tài khoản cá nhân. Lỗi này khiến các nạn nhân vĩnh viễn mất quyền quản trị viên của trang.
Cách phòng chống bị đánh cắp trang fanpage Facebook:
Ứng dụng bên thứ ba có khả năng thực hiện các quyền cài đặt thực thi như đăng trạng thái, đăng tải hình ảnh, tương tác nhiều nơi…..nhưng Facebook không cho phép các ứng dụng này thêm hoặc sửa đổi vai trò quyền quản trị của trang. Kẻ tấn công có thể lợi dụng lỗ hổng bảo mật nói trên gửi một chuỗi mã yêu cầu đơn giản để chiếm quyền quản trị trang Facebook nào đó như sau:
POST /PGID/userpermissions HTTP/1.1
Host: graph.facebook.com
Content-Length: 245
role=MANAGER&user=X&business=B&access_token=AAAA…
Ở đây, trang PGID thuộc về doanh nghiệp B, nơi một người có thể yêu cầu trang quản trị để biến người sử dụng ‘X’ chỉ định thành một quản trị viên của trang. Điều này có nghĩa là những thay đổi nhỏ trong các thông số yêu cầu có thể cho phép kẻ tấn công giành quyền kiểm soát hoàn toàn đối với trang Facebook của nạn nhân. Laxman cũng đã công bố một video miêu tả cách thức cuộc tấn công hoạt động
Mặc dù Facebook hiện đã khắc phục lỗ hổng này, nhưng người dùng cần phải luôn luôn cân nhắc và xem xét kỹ các điều khoản mà mình chấp thuận cho bất kỳ ứng dụng nào của bên thứ ba khi sử dụng.
Xuân Dung
Vui lòng trích dẫn nguồn Kaspersky Proguide khi sao chép bài viết
TIN CÙNG CHUYÊN MỤC
Lỗ hổng bảo mật khiến kẻ xấu hack hệ thố...
Chiến dịch quảng cáo độc hại chiếm đoạt ...
Nghiên cứu mới tiết lộ lỗ hổng Spectre v...
Kaspersky phát hiện biến thể Lite mới củ...
Trình duyệt Opera sửa lỗ hổng bảo mật lớ...
Apple mở mã nguồn PCC cho các nhà nghiên...
- Cách xóa người, đối tượng, vật thể không mong muốn...
- Lý do công cụ AI chưa thể viết văn bản trên hình ả...
- Lỗ hổng bảo mật khiến kẻ xấu hack hệ thống mà khôn...
- Chiến dịch quảng cáo độc hại chiếm đoạt tài khoản ...
- Ngoài AI, đây là những công nghệ mới trên smartpho...
- Nghiên cứu mới tiết lộ lỗ hổng Spectre vẫn tồn tại...