Lỗ hổng cho phép tin tặc xóa bất cứ video nào trên Facebook

Một nhà nghiên cứu bảo mật đã phát hiện ra lỗ hổng nghiêm trọng trong Facebook cho phép tin tặc xóa bất cứ video nào chia sẻ trên tường của nạn nhân.

Lỗ hổng được nhà nghiên cứu Dan Melamed vào tháng 6 năm 2016 giúp ông xóa bất cứ video nào trên Facebook và vô hiệu hóa bình luận trên video tùy ý.

Để khai thác lỗ hổng, đầu tiên Melamed tạo một sự kiện công khai trên Facebook Page và tải lên một video. Trong khi tải lên video, Melamed can thiệp vào POST request bằng Fiddle và sao đó thay thế giá trị Video ID bằng giá trị của một video khác của nạn nhân. Máy chủ Facebook sẽ trả về lỗi những video vẫn được tải lên thành công.

Sau khi hoàn thành, Melamed sẽ xóa sự kiện vừa tạo, thực chất xóa cả video đính kèm. Điều này dẫn tới video của nạn nhân sẽ bị xóa khỏi Facebook. Hoặc nếu lựa chọn “Tắt bình luận cho bài viết này” thì video của nạn nhân cũng bị tắt bình luận.

Video minh họa

Melamed đã được Facebook trao 10,000 USD tiền thưởng với lỗ hổng  của mình. Đây không phải lần đầu tiên Facebook gặp sự cố liên quan tới xóa video trên nền tảng mạng xã hội của mình.

THN