Lỗ hổng Facebook cho phép Hacker xóa mọi Album ảnh

Gần đây, một lỗ hổng nghiêm trọng trên Facebook đã được báo cáo có thể cho phép bất kỳ ai xóa toàn bộ album ảnh trên Facebook của bạn mà không cần xác thực.

nhà nghiên cứu bảo mật Laxman Muthiyah nói tin tặc rằng lỗ hổng thực sự nằm trong cơ chế Facebook Graph API, cho phép “tin tặc xóa album ảnh bất kỳ trên Facebook. Bất kỳ album ảnh nào thuộc sở hữu của người dùng hoặc trang hoặc nhóm đều có thể bị xóa.”

XÓA ALBUM ẢNH FACEBOOK

Theo tài liệu dành cho nhà phát triển Facebook, không thể xóa album bằng API Đồ thị, nhưng nhà nghiên cứu bảo mật Ấn Độ đã tìm ra cách xóa không chỉ album ảnh Facebook của chính mình mà còn của những người khác trong vòng vài giây.

“Tôi đã quyết định dùng thử với Facebook cho mã thông báo truy cập di động vì chúng ta có thể thấy tùy chọn xóa cho tất cả album ảnh trong ứng dụng Facebook di động phải không? Vâng và nó cũng sử dụng cùng API Đồ thị“anh ấy nói.

Để xóa album ảnh khỏi tài khoản Facebook của nạn nhân, kẻ tấn công chỉ cần gửi yêu cầu API Đồ thị dựa trên HTTP với ID album ảnh của nạn nhân và mã thông báo truy cập của chính kẻ tấn công được tạo cho ứng dụng ‘Facebook dành cho Android’.

YÊU CẦU MẪU

VIDEO MINH HỌA

Chương trình Bug Bounty của Facebook đã thưởng cho anh ấy $12.500 USD để hỗ trợ Bảo mật Facebook nhóm để vá lỗ hổng nghiêm trọng này.