Facebook lại gặp lỗi nghiêm trọng cho phép hacker xóa bất kỳ một video nào trên bình luận

Facebook mới đây đã tung ra một bản vá lỗi liên quan đến lỗ hổng an ninh nghiêm trọng, có khả năng tiếp tay cho các hacker truy cập vào cơ sở dữ liệu và xóa bất kỳ một video nào được upload lên phần comments của trạng thái hiện tại.

Điểm yếu này trên nền tảng hệ thống của Facebook đã được phát hiện bởi chuyên gia an ninh Ấn Độ Pranav Hivarekar, cũng chính là người đã vô tình tận dụng được sơ hở này để xóa một vài video theo ý mình.

Hệ quả để lại liên quan đến một tính năng mới của Facebook - bình luận bằng video - được tích hợp thêm vào bộ phận chức năng kể từ đầu tháng 6, cung cấp thêm cho người dùng một hình thức giao tiếp và tương tác mới thông qua phần comment dưới mỗi trạng thái hay ảnh.

Sai một li, đi một dặm

Cũng theo Hivarekar, lỗ hổng trên thuộc về nguyên lý thiết kế logic hơn là khía cạnh kỹ thuật như Giao thức Mã hóa Nâng cao (RCE) hay hình thức tấn công an ninh SSRF.

Cho biết thêm bởi anh, khi một thành viên của mạng xã hội này upload một video dưới dạng bình luận, thực chất video đó đã được tải lên nền tảng timeline của chủ nhân và gán cho một chuỗi ID. Sau đó, dựa vào số ID trên, video mới được kết nối và gắn vào phần bình luận post ban đầu.

Sau khi thực hiện qua một vài thao tác với hệ thống giao diện lập trình ứng dụng (API) của Facebook, Hivarekar đã bất ngờ có toàn quyền truy cập và xóa bất cứ một nội dung bình luận video nào mà anh muốn, vốn bắt nguồn từ ID của video.

Vậy nguyên nhân nằm ở đâu?

Trích lời Hivarekar, Facebook đã khá tự tin (hay dại dột) khi không đề xuất đến một phương thức cấp quyền truy cập để kiểm chứng xem liệu người xóa những bình luận kia có thật sự là chủ nhân của tài khoản có chứa video đó hay không.

“Không có một hình thức bảo mật nào để kiểm tra độ xác thực của người thực hiện thao tác xóa video cả,” Hivarakar chia sẻ trên blog cá nhân. “Tưởng như chính bản thân họ mới là người có toàn quyền đăng tải hay gỡ bỏ thông tin trên tài khoản của mình, nhưng sự thực thì không phải như vậy.”

Hivarekar cũng đã ngay lập tức báo cáo lại vấn đề nghiêm trọng trên cho đội ngũ phụ trách xử lý lỗi của Facebook vào ngày 11/6, và chỉ trong vòng 23 phút ngay sau đó, Facebook đã phát hành một bản khắc phục tạm thời cho lỗ hổng trên, và phiên bản sửa lỗi chính thức được ra mắt vào 11 tiếng đồng hồ sau đó.

Theo nhiều nguồn tin của giới công nghệ nói chung cho biết, Hivarekar đã được “ông trùm mạng xã hội” hưởng một khoản tiền lên đến 5 chữ số cho công lao to lớn của mình.

Tham khảo: TheHackerNews