Ehraz Ahmed, một nhà nghiên cứu bảo mật độc lập đã trình diễn khá ngoạn mục quá trình xóa một tài khoản Facebook thông qua một lỗ hổng bảo mật được cho là nghiêm trọng, tuy nhiên Facebook phủ nhận lỗ hổng này.
Facebook cho rằng những gì Ahmed trình diễn chỉ là một trò chơi khăm, tất nhiên không có khoản tiền nào dành cho Ahmed. “Tôi đã báo cáo cho Facebook về lỗ hổng này. Sau một thời gian dài chờ đợi, tôi đã nhận được hồi âm, nhưng họ phủ nhận điều đó. Họ nói tôi chỉ khai thác lỗi trên tài khoản thử nghiệm, trong khi tôi đã tận dụng lỗ hổng để xóa một tài khoản Facebook thật sự. Và lỗ hổng đã được vá ngay sau email trả lời”, Ahmed nói trên blog của mình.
Đoạn mã được Ahmed tận dụng để khai thác lỗi:
http://www.facebook.com/ajax/whilehat/delete_test_user.php? Fb_dtsg=AQA1E-WE&selected_user[0]=[Victems Profile ID]&_user=[Attackers Profile ID]&_a=1
|
Trong đó, selected_user[0] và _user là hai tham số quan trọng giúp hacker khai thác lỗ hổng thành công. Để xóa một tài khoản, hacker chỉ việc đổi Victems Profile ID thành mã tài khoản của nạn nhân và thay Attackers Profile ID bằng mã tài khoản của người tấn công, tức là tài khoản Facebook đang đăng nhập trên trình duyệt. Shreateh tuyên bố lỗ hổng này có thể xóa tài khoản của cả CEO Facebook, Mark Zukerberg.
Thông báo tài khoản Facebook đã bị xóa/khóa.
Tuy nhiên, trả lời trang Computerworld, Michael Kirkland, quản lý truyền thông của Facebook nói:
“Đó không phải là một lỗi thật. Chúng tôi đã rà soát lại hệ thống và khẳng định không hề có lỗi nào được khai thác ở các thiết bị đầu cuối hoặc bất kỳ nơi nào. Hơn nữa, trong lịch sử lưu trữ của hệ thống, chúng tôi ghi nhận được rằng, tài khoản trong video không phải bị hack, mà là được khóa thủ công bằng cách sử dụng tính năng Deactive tại địa chỉ https://www.facebook.com/deactivate.php”.
|
Một kỹ sư bảo mật của Facebook nói thêm:
“Điều này chỉ đơn giản là một trò lừa bịp. Chúng tôi đã có một đợt cập nhật mới nhất cho Facebook vào hồi tháng Tư năm nay và hệ thống được bảo trì thường xuyên để tránh các cuộc tấn công an ninh”.
|
Thật ra, Facebook không hề cung cấp tính năng xóa ngay lập tức tài khoản mà chỉ có chế độ xóa sau 14 ngày gửi yêu cầu (Delete) hoặc tạm khóa tài khoản (Deactive). Ngoài ra, đoạn video còn có một điểm nghi ngờ, đó là hacker đã cố ý giấu đi thanh Address của trình duyệt, do đó người xem sẽ khó xác định được nội dung hiển thị là tương ứng với đường dẫn nào.
Trước đó vài ngày, một hacker người Ấn Độ, tên Arul Kumar đã khai thác thành công một lỗ hổng cho phép xóa ảnh đã đăng của bất kỳ ai, và hacker này nhận được 12.500 USD tiền thưởng từ Facebook.
Cách đây hơn 2 tuần, một nhà nghiên cứu bảo mật người Palestine cũng đã từng khai thác thành công một lỗ hổng của Facebook, lỗ hổng cho phép hacker đăng một bài viết lên trang cá nhân của bất kỳ ai, kể cả người chưa kết bạn, thậm chí là tài khoản Facebook của Mark Zukerberg. Song anh đã không được Facebook trả thưởng vì lí do “đã vi phạm quy định bảo mật của Facebook”, nhưng Ehraz Ahmed, một nhà nghiên cứu bảo mật độc lập cộng đồng mạng đã chung tay góp tặng anh tổng cộng 13.125 USD khiến Facebook phải bẻ mặt. |