Cẩn thận với Facebook của bạn Hacker đang từng bước xóa tài khoản bất kỳ

 Ehraz Ahmed, một nhà nghiên cứu bảo mật độc lập đã trình diễn khá ngoạn mục quá trình xóa một trương mục Facebook thông qua một lỗ hổng bảo mật được cho là nghiêm trọng, tuy nhiên Facebook phủ nhận lỗ hổng này. 

Facebook cho rằng những gì Ahmed trình diễn chỉ là một trò chơi khăm, cố nhiên không có khoản tiền nào dành cho Ahmed. “Tôi đã bẩm cho Facebook về lỗ hổng này. Sau một thời gian dài đợi chờ, tôi đã nhận được phúc âm, nhưng họ phủ nhận điều đó. Họ nói tôi chỉ khai khẩn lỗi trên account thử nghiệm, trong khi tôi đã tận dụng lỗ hổng để xóa một account Facebook thật sự. Và lỗ hổng đã được vá ngay sau email đáp”, Ahmed nói trên blog của mình.

Đoạn mã được Shreateh tận dụng để vỡ hoang lỗi:

http://www.facebook.com/ajax/whilehat/delete_test_user.php? Fb_dtsg=AQA1E-WE&selected_user[0]=[Victems Profile ID]&_user=[Attackers Profile ID]&_a=1

Trong đó,  selected_user[0]  và  _user  là hai thông số quan yếu giúp hacker khai phá lỗ hổng thành công. Để xóa một trương mục, hacker chỉ việc đổi Victems Profile ID thành mã account của nạn nhân và thay Attackers Profile ID bằng mã tài khoản của người tiến công, tức thị tài khoản Facebook đang đăng nhập trên trình duyệt. Shreateh tuyên bố lỗ hổng này có thể xóa trương mục của cả CEO Facebook, Mark Zukerberg.

Thông báo tài khoản Facebook đã bị xóa/khóa.

Tuy nhiên, đáp trang  Computerworld , Michael Kirkland, quản lý truyền thông của Facebook nói:

“Đó không phải là một lỗi thật. Chúng tôi đã rà lại hệ thống và khẳng định không hề có lỗi nào được khai thác ở các thiết bị đầu cuối hoặc bất kỳ nơi nào. Hơn nữa, trong lịch sử lưu trữ của hệ thống, chúng tôi ghi nhận được rằng, account trong video không phải bị hack, mà là được khóa thủ công bằng cách sử dụng tính năng Deactive tại địa chỉ https://www.facebook.com/deactivate.php”.

Một kỹ sư bảo mật của Facebook nói thêm:

“Điều này chỉ đơn giản là một trò lừa bịp. Chúng tôi đã có một đợt cập nhật mới nhất cho Facebook vào hồi tháng Tư năm nay và hệ thống được bảo trì thẳng tính để tránh các cuộc tấn công an ninh”.

Thật ra, Facebook không hề có tính năng xóa hẳn trương mục mà chỉ có chế độ tạm khóa tài khoản (Deactive). ngoại giả, đoạn video còn có một điểm ngờ, đó là hacker đã cố ý giấu đi thanh Address của trình duyệt, do đó người xem sẽ khó xác định được nội dung hiển thị là tương ứng với đường dẫn nào.

Trước đó vài ngày, một hacker người Ấn Độ, tên Arul Kumar đã khai phá thành công một lỗ hổng cho phép xóa ảnh đã đăng của bất kỳ ai, và hacker này nhận được 12.500 USD tiền thưởng từ Facebook.

Cách đây hơn 2 tuần, một nhà nghiên cứu bảo mật người Palestine cũng đã từng khẩn hoang thành công một lỗ hổng của Facebook, lỗ hổng cho phép hacker đăng một bài viết lên trang cá nhân chủ nghĩa của bất kỳ ai, kể cả người chưa kết thân, thậm chí là tài khoản Facebook của Mark Zukerberg. Song anh đã không được Facebook trả thưởng vì lí do “đã vi phạm quy định bảo mật của Facebook”, nhưng Ehraz Ahmed, một nhà nghiên cứu bảo mật độc lập cộng đồng mạng đã chung tay góp tặng anh tổng cộng 13.125 USD khiến Facebook phải bẻ mặt.

Tham khảo các mẫu điện thoại cao cấp Mobiado, vertu signature s tại: http://ozy.vn