Một lỗi bảo mật nghiêm trọng của Facebook bị lộ, làm cho hacker có thể xâm nhập và xoá đi hết các album ảnh chỉ trong “vài nốt nhạc”.

Nhà nghiên cứu bảo mật Laxman Mythiyah đã chia sẻ với trang The Hacker News rằng lỗi này thực ra là nằm ở cơ chế Graph API của Facebook. Tuy lập trình viên của hãng khẳng định rằng không thể có chuyện sử dụng cơ chế này để xoá album ảnh được, nhưng với công cụ mà mình tạo ra, chuyên gia người Ấn Độ này hoàn toàn có thể thực hiện được việc này chỉ trong vài giây.

Nói đơn giản thế này, Facebook Graph API yêu cầu phải có môt thẻ truy cập để truy xuất và thay đổi dữ liệu. Nhưng bất ngờ là với thẻ truy cập của Laxman được tạo ra cho phiên bản di động trên Facebook, nó thực sự có thể được sử dụng để loại bỏ bất kỳ album ảnh đăng bởi bất cứ tài khoản Facebook nào. Để thực hiện, hacker chỉ việc gửi một đoạn HTTP dựa trên Graph API với tên truy cập của album ảnh và thẻ truy cập được tạo ra từ ứng dụng “Facebook for Android”.

https://www.youtube.com/watch?v=93EdTtVJKBU

Facebook sau đó thừa nhận sai sót và làm việc để vá lỗi. Hãng cũng cảm ơn Laxman bằng số tiền thưởng $12.500 cho đóng góp vào nhóm bảo mật của hãng.

Nguyễn Khánh tổng hợp từ TheHackerNews.com