Cảnh báo! Hacker có thể đánh cắp Fan Page Facebook của bạn

Mới đây, Laxman Muthiyah, “Thợ săn tiền thưởng” Facebook người Ấn Độ,  đã lần thứ ba trong năm nay tìm ra lỗi tại trang web mạng xã hội phổ biến – facebook, trang mạng vừa tạo kỷ lục mới chạm mốc 1 tỷ người dùng trong một ngày.

Vào đầu năm nay, Laxman phát hiện ra một lỗ hổng nghiêm trọng trong đồ thị Facebook cho phép anh xem hoặc có thể xóa những album ảnh trên Facebook ngay cả khi không có chứng thực.

Chỉ sau một tháng, Laxman phát hiện ra một lỗ hổng nghiêm trọng trong tính năng Facebook Photo Sync của mạng xã hội, có thể tự động tải hình ảnh từ thiết bị di động của bạn đến một album Facebook cá nhân, mà bạn bè Facebook của bạn hoặc người dùng Facebook khác đều không thể nhìn thấy. Tuy nhiên, lỗ hổng được Laxman phát hiện có thể cho phép bất kỳ ứng dụng nào của bên thứ ba truy cập và đánh cắp hình ảnh cá nhân của bạn từ album Facebook Photo Sync ẩn.

Hiện lỗi mới nhất trong danh sách của Laxman có thể tiếp tay cho kẻ tấn công chiếm quyền kiểm soát các trang Facebook của bạn. Lần này, Laxman đã tìm thấy vấn đề với “các trang kinh doanh Facebook”, những trang không liên quan đến một tài khoản người dùng cụ thể, mà là đại diện cho một doanh nghiệp và thường được quản lý bởi một số người dùng. Tuy nhiên, Laxman có thể cho phép ứng dụng của bên thứ ba kiểm soát hoàn toàn một trang kinh doanh Facebook đã được giới hạn quyền. Điều này khiến cho các nạn nhân vĩnh viễn mất quyền quản trị viên của trang.

Dưới đây là cách thực hiện:

Ứng dụng Facebook bên thứ ba có khả năng thực hiện tất cả các cài đặt thực thi, bao gồm việc đăng trạng thái của bạn, đăng tải các hình ảnh, và nhiều tính năng khác, nhưng Facebook không cho phép họ thêm hoặc sửa đổi vai trò admin trang.

Facebook cho phép quản trị trang gán vai trò khác nhau cho những người khác trong tổ chức thông qua manage_pages, một quyền truy cập đặc biệt theo yêu cầu của các ứng dụng của bên thứ ba. Tuy nhiên, theo Laxman, kẻ tấn công có thể sử dụng một chuỗi đơn giản các yêu cầu để biến mình thành admin của trang Facebook riêng.

Mẫu yêu cầu

Các chuỗi hiển thị như sau:

POST /PGID/userpermissions HTTP/1.1

Host: graph.facebook.com

Content-Length: 245

role=MANAGER&user=X&business=B&access_token=AAAA…

Ở đây, trang PGID thuộc về doanh nghiệp B, nơi một người có thể yêu cầu manage_pages để biến người sử dụng ‘X’ thành một MANAGER (chỉ định làm một quản trị viên) của trang. Điều này có nghĩa là những thay đổi nhỏ trong các thông số yêu cầu có thể cho phép kẻ tấn công giành quyền kiểm soát hoàn toàn đối với trang Facebook của bạn. Laxman cũng đã công bố một video miêu tả cách thức cuộc tấn công hoạt động.

Laxman đã thông báo lỗi này tới nhóm bảo mật của Facebook và nhận được phần thưởng 2500 USD, từ chương trình bug bounty (tìm lỗ hổng nhận thưởng) của Facebook. Mặc dù mạng xã hội hiện nay đã sửa lỗ hổng, nhưng bạn phải luôn luôn cân nhắc và xem xét kỹ các điều khoản mà bạn chấp thuận cho bất kỳ ứng dụng nào của bên thứ ba.

THN