nguoiduatinabc
06-16-2021, 23:58
Facebook đă trao thưởng 30.000 USD cho một hacker Ấn Độ. Hắn đă phát hiện ra các lỗi độc hại trên ứng dụng Instagram. Lỗi này được phát hiện cho phép bất kỳ ai cũng có thể xem các bài đăng, story, reel và IGTV mà không cần theo dơi người dùng, ngay cả khi họ để chế độ riêng tư.
https://www.intermati.com/forum/attachment.php?attac hmentid=1811846&stc=1&d=1623887862
Mặc dù Facebook hiện đă giải quyết vấn đề, nhưng lỗi này nếu không được khắc phục sẽ cho phép các hacker truy cập bất hợp pháp vào h́nh ảnh, video riêng tư của người dùng mà không cần theo dơi họ.
Mayur Fartade sống ở Solapur, bang Maharashtra, Ấn Độ, người có các kỹ năng như C ++, Python, đă có thể phát hiện ra lỗi cho phép hacker xem các bài đăng, story, reel và IGTV mà không cần theo dơi người dùng, ngay cả khi họ để chế độ riêng tư bằng Media ID.
Anh giải thích trong một bài đăng chi tiết trên Medium rằng, kẻ tấn công cũng có thể lưu trữ ảnh, video và thông tin chi tiết về các phương tiện cụ thể bằng cách sử dụng Media ID.
“Dữ liệu của người dùng có thể bị đọc không đúng cách. Kẻ tấn công có thể tạo lại url cdn hợp lệ của các story và bài đăng đă lưu trữ. Ngoài ra, bằng Media ID, kẻ tấn công có thể lưu trữ thông tin chi tiết về phương tiện cụ thể và bộ lọc, chúng đều riêng tư và được lưu trữ” - Fartade chia sẻ.
Thông tin lấy được từ Instagram cũng có thể được sử dụng để truy cập vào các trang Facebook liên kết với tài khoản Instagram.
Fartade lần đầu tiên báo cáo về lỗi Instagram vào ngày 16 tháng 4. Sau đó 3 ngày anh nhận được phản hồi từ Facebook và yêu cầu anh cung cấp thêm thông tin. Vào ngày 29 tháng 4, Facebook đă vá lỗ hổng bảo mật này. Vào ngày 15 tháng 6, anh nhận được khoản thưởng 30.000USD.
https://www.intermati.com/forum/attachment.php?attac hmentid=1811845&stc=1&d=1623887862
Trong lá thư gửi cho Fartade, Facebook cảm ơn anh về phát hiện này: “Sau khi xem xét vấn đề, chúng tôi đă quyết định trao cho bạn khoản tiền thưởng 30.000 USD… Báo cáo của bạn nêu bật một t́nh huống có thể cho phép hacker xem các phương tiện được nhắm mục tiêu trên Instagram. Kịch bản này sẽ yêu cầu kẻ tấn công biết ID phương tiện cụ thể. Chúng tôi đă khắc phục sự cố này. Cảm ơn bạn một lần nữa v́ phát hiện này. Chúng tôi mong nhận được nhiều phát hiện hơn nữa trong thời gian tới!”.
Fartade (21 tuổi, sinh viên khoa học kỹ thuật máy tính), chia sẻ rằng anh đă thử dùng Instagram trong một tuần nhưng ban đầu không t́m thấy bất kỳ lỗ nào. Tuy nhiên, sau khi t́m hiểu kỹ hơn về các tính năng như thông tin chi tiết, quảng cáo, Fartade đă phát hiện ra lỗi độc hại trên.
Fartade muốn trở thành một nhà phát triển phần mềm trong tương lai.
https://www.intermati.com/forum/attachment.php?attac hmentid=1811846&stc=1&d=1623887862
Mặc dù Facebook hiện đă giải quyết vấn đề, nhưng lỗi này nếu không được khắc phục sẽ cho phép các hacker truy cập bất hợp pháp vào h́nh ảnh, video riêng tư của người dùng mà không cần theo dơi họ.
Mayur Fartade sống ở Solapur, bang Maharashtra, Ấn Độ, người có các kỹ năng như C ++, Python, đă có thể phát hiện ra lỗi cho phép hacker xem các bài đăng, story, reel và IGTV mà không cần theo dơi người dùng, ngay cả khi họ để chế độ riêng tư bằng Media ID.
Anh giải thích trong một bài đăng chi tiết trên Medium rằng, kẻ tấn công cũng có thể lưu trữ ảnh, video và thông tin chi tiết về các phương tiện cụ thể bằng cách sử dụng Media ID.
“Dữ liệu của người dùng có thể bị đọc không đúng cách. Kẻ tấn công có thể tạo lại url cdn hợp lệ của các story và bài đăng đă lưu trữ. Ngoài ra, bằng Media ID, kẻ tấn công có thể lưu trữ thông tin chi tiết về phương tiện cụ thể và bộ lọc, chúng đều riêng tư và được lưu trữ” - Fartade chia sẻ.
Thông tin lấy được từ Instagram cũng có thể được sử dụng để truy cập vào các trang Facebook liên kết với tài khoản Instagram.
Fartade lần đầu tiên báo cáo về lỗi Instagram vào ngày 16 tháng 4. Sau đó 3 ngày anh nhận được phản hồi từ Facebook và yêu cầu anh cung cấp thêm thông tin. Vào ngày 29 tháng 4, Facebook đă vá lỗ hổng bảo mật này. Vào ngày 15 tháng 6, anh nhận được khoản thưởng 30.000USD.
https://www.intermati.com/forum/attachment.php?attac hmentid=1811845&stc=1&d=1623887862
Trong lá thư gửi cho Fartade, Facebook cảm ơn anh về phát hiện này: “Sau khi xem xét vấn đề, chúng tôi đă quyết định trao cho bạn khoản tiền thưởng 30.000 USD… Báo cáo của bạn nêu bật một t́nh huống có thể cho phép hacker xem các phương tiện được nhắm mục tiêu trên Instagram. Kịch bản này sẽ yêu cầu kẻ tấn công biết ID phương tiện cụ thể. Chúng tôi đă khắc phục sự cố này. Cảm ơn bạn một lần nữa v́ phát hiện này. Chúng tôi mong nhận được nhiều phát hiện hơn nữa trong thời gian tới!”.
Fartade (21 tuổi, sinh viên khoa học kỹ thuật máy tính), chia sẻ rằng anh đă thử dùng Instagram trong một tuần nhưng ban đầu không t́m thấy bất kỳ lỗ nào. Tuy nhiên, sau khi t́m hiểu kỹ hơn về các tính năng như thông tin chi tiết, quảng cáo, Fartade đă phát hiện ra lỗi độc hại trên.
Fartade muốn trở thành một nhà phát triển phần mềm trong tương lai.