WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Lỗi đơn giản làm lộ thông tin admin của các trang Facebook
Tuy nhiên, có những trường hợp bạn muốn liên hệ với admin của một trang Facebook hoặc tìm hiểu chủ nhân của một trang Facebook nào đó.
Chuyên gia an ninh người Ai Cập Mohamed A. Baset đã phát hiện một lỗ hổng tiết lộ thông tin nghiêm trọng trên Facebook cho phép bất cứ ai cũng có thể tiết lộ profile của admin trang Facebook, mà đáng lẽ những thông tin đó không được công khai.
Chuyên gia này cho biết chưa đến 3 phút đã phát hiện ra lỗ hổng này mà không cần tiến hành kiểm tra hoặc thực hiện bất kỳ chứng minh khái niệm hay quy trình mất thời gian nào khác.
Trong bài đăng trên blog, Baset mô tả đây là "lỗi logic" sau khi nhận được lời mời like một trang Facebook mà trước đó Baset đã thích một bài đăng trên trang này.
Facebook có một tính năng cho phép admin của 1 trang có thể gửi lời mời tới người dùng và gợi ý người dùng đó lựa chọn thích trang này sau khi thích một bài đăng và vài ngày sau, những người dùng có thể nhận được một email nhắc về lời mời.
Khi Baset nhận được một email như vậy và sau đó chỉ cần lựa chọn "show original (hiển thị ban đầu)" trong email, chuyên gia này đã phát hiện mã nguồn của email chứa tên, ID của admin và các thông tin chi tiết khác.
Baset ngay lập tức báo cáo vấn đề này cho đội bảo mật Facebook thông qua chương trình bug bounty Bugcrowd của hãng. Facebook đã thừa nhận lỗi trên và trao thưởng 2.500 đô la cho phát hiện trên.
Tuy Facebook đã vá lỗi, nhưng những người đã nhận được một lời mời như vậy vẫn có thể tìm ra thông tin chi tiết về admin qua các email mời.
Theo Facebook, hãng đã xác minh trong một số trường hợp, những lời mời từ trang gửi tới những người không phải là bạn bè sẽ vô tình tiết lộ tên admin của trang đã gửi tới họ. “Chúng tôi đã giải quyết nguyên nhân gốc rễ ở đây, và các email trong tương lai sẽ không chứa thông tin như trên nữa”.
Theo Hackernews
