Lỗ hổng bảo mật Facebook khiến người dùng Instagram bị lộ thông tin
Một lỗ hổng bảo mật được phát hiện mới đây có thể giúp kẻ tấn công dễ dàng lấy được thông tin riêng tư của dùng Instagram.
Khi đăng ký tài khoản Instagram, nền tảng này hứa hẹn rằng email và ngày sinh của bạn sẽ không hiển thị công khai.
Tuy nhiên, một lỗ hổng bảo mật được phát hiện mới đây bởi nhà nghiên cứu bảo mật Saugat Pokharel đã vô tình giúp kẻ tấn công có thể dễ dàng lấy được thông tin cá nhân đó.
Nhà nghiên cứu bảo mật Saugat Pokharel. (Ảnh: Medium)
Lỗi này có thể bị khai thác bởi các tài khoản doanh nghiệp được cấp quyền truy cập vào một tính năng mà nền tảng đang thử nghiệm.
Saugat Pokharel đã sử dụng công cụ Business Suite của Facebook, có sẵn cho bất kỳ tài khoản doanh nghiệp nào của mạng xã hội này, để thực hiện việc khai thác thông tin.
Công cụ Facebook Business Suite. (Ảnh: Facebook)
Nếu tài khoản doanh nghiệp Facebook được liên kết với Instagram và được đưa vào nhóm thử nghiệm, công cụ Business Suite sẽ hiển thị thông tin bổ sung của 1 người cùng với bất kỳ thông tin trực tiếp nào - bao gồm địa chỉ email, vốn được xem là riêng tư, và ngày sinh của họ.
Pokharel nhận thấy rằng, ngay cả các tài khoản được đặt ở chế độ riêng tư và các tài khoản được tinh chỉnh để không chấp nhận tin nhắn từ người lạ, cũng có thể bị khai thác thông tin.
(Ảnh: Alex Castro / The Verge)
Nếu một tài khoản không chấp nhận tin nhắn từ người lạ, người dùng có thể sẽ không nhận được bất kỳ thông báo nào cho biết hồ sơ của họ có thể đã được xem qua.
Pokharel, một chuyên gia "săn" lỗi lâu năm, cũng phát hiện ra rằng Instagram không thực sự xóa các bài đăng được cho là đã xóa vào tháng 8.
(Ảnh: Alex Bracken / Unsplash)
Về phía Facebook, trong một tuyên bố gửi đến cho The Verge, đại diện của mạng xã hội này cho biết rằng: Lỗi này chỉ xuất hiện trong một khoảng thời gian ngắn, vì thử nghiệm đã được bắt đầu vào tháng 10.
Tuy vậy, đại diện Facebook không tiết lộ có bao nhiêu người dùng được cấp quyền truy cập vào tính năng này, chỉ biết rằng đó là một "thử nghiệm nhỏ" và một cuộc điều tra của Facebook không tìm thấy bằng chứng nào cho thấy ai đó đã lạm dụng tính năng này.
(Ảnh: Joe Magee / The Guardian)
"Một nhà nghiên cứu bảo mật đã báo cáo một vấn đề về bảo mật, trong đó cho thấy, nếu ai đó là một phần trong một thử nghiệm nhỏ mà chúng tôi đã thực hiện vào tháng 10 đối với tài khoản doanh nghiệp, thông tin cá nhân của người mà họ nhắn tin có thể bị tiết lộ.
Lỗi này đã được giải quyết nhanh chóng và chúng tôi không phát hiện thấy bằng chứng nào về việc nó đã bị lạm dụng. Thông qua 'Chương săn lỗi nhận thưởng' của Facebook, chúng tôi đã trao thưởng cho nhà nghiên cứu này vì đã giúp báo cáo vấn đề này", đại diện Facebook cho biết.
(Ảnh: Getty Images)
Theo Pokharel, các kỹ sư của Facebook đã khắc phục sự cố trong vòng vài giờ sau khi nhận được thông báo.
