Phát hiện lỗi bảo mật khiến bạn mất fanpage Facebook
Một chuyên viên nghiên cứu bảo mật người Ấn Độ đã nhận 2.500 USD tiền thưởng từ Facebook nhờ phát hiện một lỗ hổng cho phép tin tặc chiếm quyền kiểm soát và cuỗm mất trang fanpe Facebook - những trang không liên quan đến một tài khoản người dùng cụ thể, mà là đại diện cho một doanh nghiệp và thường được quản lý bởi nhiều quản trị viên.
Laxman Muthiyah – 1 người Ấn Độ được mệnh danh là “thợ săn thưởng” nhờ tìm ra vô số lỗ hổng nghiêm trọng trên nền tảng mạng xã hội 1 tỷ thành viên. Chỉ trong năm nay, anh này đã phát hiện ra 3 lỗi nghiêm trọng tồn tại trên Facebook. Đầu năm 2015 là lỗ hổng trong đồ thị Facebook cho phép người khác xem hoặc xóa các bộ sưu tập ảnh trên Facebook mà không cần chứng thực. Tháng sau đó, Laxman phát hiện lỗi trong tính năng đồng bộ hóa hình ảnh Facbook Facebook (Photo Sync) tự động tải ảnh từ thiết bị di động đến bộ album Facebook cá nhân mà bạn bè hoặc chính chủ nhân tài khoản không nhìn thấy được. Bất kì ứng dụng bên thứ ba nào cũng có thể tury cập vào và đánh cắp hình ảnh riêng tư của mục tiêu từ tài khoản đồng bộ Facebook ẩn.
Và lỗi mới nhất trên nền tảng mạng xã hội đông dân nhất hành tinh này là nhắm vào các trang fabpage Facebook – được quản lý bởi nhiều người dùng khác nhau, đại diện cho doanh nghiệp hay tổ chức mà không phải tài khoản cá nhân. Lỗi này khiến các nạn nhân vĩnh viễn mất quyền quản trị viên của trang.
Cách phòng chống bị đánh cắp trang fanpage Facebook:
Ứng dụng bên thứ ba có khả năng thực hiện các quyền cài đặt thực thi như đăng trạng thái, đăng tải hình ảnh, tương tác nhiều nơi…..nhưng Facebook không cho phép các ứng dụng này thêm hoặc sửa đổi vai trò quyền quản trị của trang. Kẻ tấn công có thể lợi dụng lỗ hổng bảo mật nói trên gửi một chuỗi mã yêu cầu đơn giản để chiếm quyền quản trị trang Facebook nào đó như sau:
POST /PGID/userpermissions HTTP/1.1
Host: graph.facebook.com
Content-Length: 245
role=MANAGER&user=X&business=B&access_token=AAAA…
Ở đây, trang PGID thuộc về doanh nghiệp B, nơi một người có thể yêu cầu trang quản trị để biến người sử dụng ‘X’ chỉ định thành một quản trị viên của trang. Điều này có nghĩa là những thay đổi nhỏ trong các thông số yêu cầu có thể cho phép kẻ tấn công giành quyền kiểm soát hoàn toàn đối với trang Facebook của nạn nhân. Laxman cũng đã công bố một video miêu tả cách thức cuộc tấn công hoạt động
Mặc dù Facebook hiện đã khắc phục lỗ hổng này, nhưng người dùng cần phải luôn luôn cân nhắc và xem xét kỹ các điều khoản mà mình chấp thuận cho bất kỳ ứng dụng nào của bên thứ ba khi sử dụng.
Xuân Dung
Vui lòng trích dẫn nguồn Kaspersky Proguide khi sao chép bài viết
TIN CÙNG CHUYÊN MỤC
Lưu ý cập nhật ngay bản vá lỗ hổng Googl...
Apple tung ra bản vá iOS, macOS và Safar...
Microsoft mặc định cài ứng dụng HP Smart...
Phần mềm độc hại Android FjordPhantom mớ...
Google Chrome đang bị tấn công tích cực,...
3 lưu ý trước khi xóa trình quản lý mật ...
-
Quảng cáo Google độc hại lừa người dùng WinSCP cài...
-
DarkCasino mối đe doạ APT mới nổi đang khai thác l...
-
Cách khắc phục thông báo lỗi "Giải phóng dung lượn...
-
Tin tặc có thể khai thác Google Workspace và Cloud...
-
Bạn có thể làm gì để khắc phục lỗ hổng Zero Day củ...
-
Google cảnh báo cách tin tặc có thể lạm dụng dịch ...
-
Chương trình khuyến mãi Vòng Quay May Mắn 2023
-
Lưu ý cập nhật ngay bản vá lỗ hổng Google mới nhất
-
Apple tung ra bản vá iOS, macOS và Safari cho 2 lỗ...
-
Microsoft mặc định cài ứng dụng HP Smart trên Wind...
-
Phần mềm độc hại Android FjordPhantom mới nhắm mục...
-
Google Chrome đang bị tấn công tích cực, khai thác...
TAGS
LIÊN HỆ
