Lỗ hổng Instagram tiết lộ dữ liệu người dùng đã được vá

Lỗ hổng Instagram

Gần đây, một nhà nghiên cứu đã phát hiện ra lỗ hổng bảo mật tồn tại trong Instagram có thể cho phép các hacker liên kết số liên lạc của người dùng với dữ liệu PII của họ.

Lỗ hổng quyền riêng tư trên Instagram

Nhà nghiên cứu bảo mật với bí danh trực tuyến ZHacker đã phát hiện ra lỗ hổng tiết lộ dữ liệu tài khoản của người dùng trong Instagram. Theo Forbes, lỗ hổng này tiết lộ số điện thoại của người dùng liên kết với tài khoản Instagram và tên thật của họ.

Bổ sung thêm cho các phát hiện liên quan tới lỗ hổng, ZakDoffman từ Forbes khẳng định lỗ hổng tồn tại trong tính năng nhập liên hệ (contact importer feature) của Instagram. Việc lạm dụng nền tảng này cùng với cuộc tấn công brute force trên biểu mẫu đăng nhập có thể cho phép các hacker khai thác thành công lỗ hổng.

ZakDoffman đã tiết lộ chi tiết này trong bài đăng mới đây trên blog. Theo đó, việc khai thác lỗ hổng này sẽ cho phép kẻ tấn công sử dụng đội quân bot và bộ xử lý để xây dựng cơ sở dữ liệu người dùng có thể tìm kiếm/ tấn công, đồng thời bỏ qua (bypass) các biện pháp bảo vệ dữ liệu.

Cụ thể, cuộc tấn công bắt đầu khi kẻ tấn công thực hiện brute force đối với một số liên lạc trên biểu mẫu đăng nhập của nền tảng cho một tài khoản trực tiếp (live account). Quy trình trích xuất số liên lạc từ Instagram bằng thuật toán thu hoạch 1000 số mỗi ngày sẽ được thực hiện một cách dễ dàng. Sau đó hacker sẽ lạm dụng tính năng Danh bạ đồng bộ hóa của Instagram để tìm ra tài khoản được liên kết với số điện thoại đó.

Mặc dù cuộc tấn công vẫn còn tồn tại một số hạn chế, tuy nhiên nó vẫn là một vấn đề nghiêm trọng ảnh hưởng đến quyền riêng tư của người dùng.

Facebook đã vá lỗ hổng

Ngay khi phát hiện ra lỗ hổng, ZHacker đã liên lạc với Facebook để thông báo về phát hiện của mình. Tuy nhiên, ban đầu Facebook không thực sự nhận thức được mức độ nghiêm trọng thực tế của lỗ hổng này. Bởi vậy, ZHacker đã liên lạc với Doffman – người sau đó đã giúp Facebook có cái nhìn đúng đắn và toàn diện hơn về lỗ hổng tồn tại trong nền tảng của mình.   

Cuối cùng, Facebook đã chịu thừa nhận lỗi này và phát hành bản vá kịp thời cho lỗ hổng. Phát ngôn viên của Facebook cho biết công ty đã thay đổi tính năng nhập liên hệ trên Instagram nhằm ngăn chặn mọi hành vi khai thác/ lạm dụng có thể xảy ra. Đồng thời, Facebook cũng không quên bày tỏ lòng biết ơn đối với các nhà nghiên cứu đã giúp đưa ra vấn đề và báo cáo với công ty một cách đầy trách nhiệm.  

Gần đây, một nhà nghiên cứu khác cũng đã phát hiện một lỗ hổng tồn tại trong nền tảng Instagram, có thể cho phép các hacker xâm nhập 1 triệu tài khoản chỉ trong vòng 10 phút.

LHN