Hacker phát hiện ra cách xóa album ảnh bất kỳ trên Facebook
Chỉ với 4 dòng code, Laxman Muthiyah đã có thể xóa sổ mọi album từ ảnh cưới của ông chủ Facebook cho đến ảnh tốt nghiệp của một người dùng không quen biết.
Muthiyah cho hay, trong lúc duyệt Graph API của Facebook, ông tự hỏi: "Điều gì sẽ xảy ra nếu ảnh của bạn bỗng nhiên biến mất mà bạn không hề hay biết?". Ông thử tìm hiểu vấn đề và bất ngờ nhận thấy "nhiệm vụ" không hề bất khả thi như ông nghĩ.
Laxman Muthiyah có thể xóa album ảnh bất kỳ, kể cả của Mark Zuckerberg. |
Muthiyah thực hiện việc xóa ảnh bằng cách sử dụng khóa truy cập di động (access token) - chuỗi ký tự cho phép một ứng dụng dành quyền truy cập vào tài khoản người dùng (như khi mở một phần mềm hay game, người dùng sẽ nhận được thông báo là ứng dụng đó sẽ có quyền truy cập vào tài khoản của họ và Facebook sẽ tạo một token cho hành động này).
Còn cần thêm một vào thao tác nữa để việc xóa ảnh được hoàn tất, nhưng thay vì công bố điều này, Muthiyah thông báo cho Facebook và mạng xã hội đã lập tức vá lỗi trong vòng 2 giờ.
Blogger chuyên về bảo mật Mark Stockley nhận xét, nếu phát hiện trên rơi vào tay một hacker xấu, kẻ đó đã có thể gây ra nhiều thiệt hại cho Facebook và người dùng, hoặc buộc mạng xã hội phải trả một khoản tiền lớn. Nhưng Muthiyah đã không làm thế và Facebook đã thưởng cho ông 12.500 USD.
Châu An