MrQuậy
Well-Known Member
-
24/09/2013
-
178
-
2.221 bài viết
Phát hiện lỗ hổng bảo mật trên Instagram, chuyên gia bảo mật bị Facebook dọa kiện ra tòa
Wesley Weinberg - chuyên gia bảo mật cao cấp của Synack đã tham gia vào chương trình tìm kiếm lỗi của Facebook vài tháng trước. Anh bắt đầu việc nghiên cứu hệ thống của Instagram sau một gợi ý từ người bạn, rằng trang quản trị dich vụ của của mạng xã hội hình ảnh này (tại địa chỉ sensu.instagram.com) có thể có lỗi bảo mật.
Thật vậy, sau khi Weinberg phát hiện bug (lỗ hổng) cho phép hacker có thể xâm nhập được vào hệ thống của Instagram, chuyên gia này đã gửi những thông tin này đến bộ phận bảo mật của Facebook.
Tuy nhiên, mọi chuyện bất ngờ xoay chuyển 180 độ, thay vì được nhận phần thưởng (khoảng 2.500 USD) từ Facebook cho quá trình nghiên cứu và phát hiện lỗi bảo mật, Weinberg đã bị Facebook cảnh báo và dọa kiện ra tòa từ hành động xâm phạm dữ liệu riêng tư của người dùng.
Cụ thể, chuyên gia bảo mật này đã khám phá ra một loạt lỗi bảo mật cho phép anh có thể truy cập được vào những dữ liệu nhạy cảm trên máy chủ của Instagram, bao gồm:
+ Mã nguồn của instagram.com.
+ Chứng chỉ SSL và Private Keys (khóa bảo mật).
+ API keys để tương tác với các dịch vụ khác.
+ Thông tin và dữ liệu cá nhân (ảnh, video) của người dùng Instagram.
Nghiêm trọng hơn, Weinberg còn chia sẻ trên blog của mình, rằng Alex Stamos - CSO (Chief Security Officer) - giám đốc mảng bảo mật của Facebook đã âm thầm thực hiện một cuộc gọi tới Jay Kaplan – CEO của Synack đe doạ sẽ "dùng luật pháp để can thiệp, nếu Weinberg không giữ im lặng, đồng thời phải xoá hết những dữ liệu có được từ việc xâm nhập lỗ hổng trên Instagram".
Tuy nhiên, sau vô số áp lực, Weinberg vẫn quyết định công khai tất cả thông tin về lỗi bảo mật của Instagram cũng như những động thái đe dọa của Facebook. Cuối cùng, mạng xã hội lớn nhất hành tinh phải thừa nhận những lỗi bảo mật trong máy chủ sensu.instagram.com và gửi khoản tiền thưởng 2.500 USD cho chuyên gia này.
Song, Facebook vẫn khẳng định rằng Weinberg đã vi phạm vào quyền bảo mật cá nhân khi truy cập vào dữ liệu riêng tư của người dùng. Chúng ta hãy cùng chờ xem kết thúc của câu chuyện này sẽ như thế nào.
Đầu năm 2015, Wesley Weinberg từng nhận được khoản tiền thưởng lên tới 24.000 USD từ Microsoft cho việc phát hiện thành công rất nhiều lỗ hổng bảo mật trong dịch vụ Live.com của Microsoft.
Thật vậy, sau khi Weinberg phát hiện bug (lỗ hổng) cho phép hacker có thể xâm nhập được vào hệ thống của Instagram, chuyên gia này đã gửi những thông tin này đến bộ phận bảo mật của Facebook.
Tuy nhiên, mọi chuyện bất ngờ xoay chuyển 180 độ, thay vì được nhận phần thưởng (khoảng 2.500 USD) từ Facebook cho quá trình nghiên cứu và phát hiện lỗi bảo mật, Weinberg đã bị Facebook cảnh báo và dọa kiện ra tòa từ hành động xâm phạm dữ liệu riêng tư của người dùng.
Lỗ hổng bảo mật hệ thống được phát hiện trên sensu.instagram.com
Cụ thể, chuyên gia bảo mật này đã khám phá ra một loạt lỗi bảo mật cho phép anh có thể truy cập được vào những dữ liệu nhạy cảm trên máy chủ của Instagram, bao gồm:
+ Mã nguồn của instagram.com.
+ Chứng chỉ SSL và Private Keys (khóa bảo mật).
+ API keys để tương tác với các dịch vụ khác.
+ Thông tin và dữ liệu cá nhân (ảnh, video) của người dùng Instagram.
Tất cả thông tin, dữ liệu của người dùng đều có thể bị "hack"
Nghiêm trọng hơn, Weinberg còn chia sẻ trên blog của mình, rằng Alex Stamos - CSO (Chief Security Officer) - giám đốc mảng bảo mật của Facebook đã âm thầm thực hiện một cuộc gọi tới Jay Kaplan – CEO của Synack đe doạ sẽ "dùng luật pháp để can thiệp, nếu Weinberg không giữ im lặng, đồng thời phải xoá hết những dữ liệu có được từ việc xâm nhập lỗ hổng trên Instagram".
Tuy nhiên, sau vô số áp lực, Weinberg vẫn quyết định công khai tất cả thông tin về lỗi bảo mật của Instagram cũng như những động thái đe dọa của Facebook. Cuối cùng, mạng xã hội lớn nhất hành tinh phải thừa nhận những lỗi bảo mật trong máy chủ sensu.instagram.com và gửi khoản tiền thưởng 2.500 USD cho chuyên gia này.
Song, Facebook vẫn khẳng định rằng Weinberg đã vi phạm vào quyền bảo mật cá nhân khi truy cập vào dữ liệu riêng tư của người dùng. Chúng ta hãy cùng chờ xem kết thúc của câu chuyện này sẽ như thế nào.
Đầu năm 2015, Wesley Weinberg từng nhận được khoản tiền thưởng lên tới 24.000 USD từ Microsoft cho việc phát hiện thành công rất nhiều lỗ hổng bảo mật trong dịch vụ Live.com của Microsoft.
Tham khảo: hackread