Lỗ hổng Instagram‌ cho phép bất kỳ ai xem tài khoản riêng tư mà không cần theo dõi

08:00 | 28/06/2021 | LỖ HỔNG ATTT

Lỗ hổng Instagram mới cho phép bất kỳ ai cũng có thể xem nội dung các bài viết và story được đăng bởi các tài khoản riêng tư mà không cần phải theo dõi tài khoản đó.

Lỗ hổng Instagram‌ cho phép bất kỳ ai xem tài khoản riêng tư mà không cần theo dõi

Nhà nghiên cứu bảo mật Mayur Fartade cho biết: “Lỗ hổng này có thể cho phép kẻ tấn công có thể xem ảnh, video, story của tài khoản người dùng đang bật chế độ riêng tư, thậm chí chi tiết các bài đăng, câu chuyện, đoạn phim riêng tư được đăng tải mà không cần theo dõi người dùng đó bằng Media ID”.

Fartade đã thông báo lỗ hổng này với nhóm bảo mật của Facebook vào ngày 16/4/2021, sau đó lỗ hổng đã được vá vào ngày 15/6/2021. Fartade cũng nhận được khoản tiền 30.000 USD như một phần của chương trình tiền thưởng lỗ hổng bảo mật của công ty.

Mặc dù cuộc tấn công yêu cầu biết ID bài viết được liên kết với hình ảnh, video hoặc album bằng cách gắn các số nhận dạng, nhưng Fartade đã chứng minh rằng có thể tạo một yêu cầu POST tới một điểm cuối GraphQL và truy xuất dữ liệu nhạy cảm.

Lỗ hổng này khiến các thông tin chi tiết như số lượt thích, bình luận, tải về, display_url và image.uri tương ứng với ID đều có thể được trích xuất ngay cả khi không theo dõi người dùng, đồng thời để lộ trang Facebook được liên kết với tài khoản Instagram.

Đây không phải là lần đầu Instagram bị phát hiện lỗ hổng gây rò rỉ dữ liệu. Vào năm 2019, Instagram cũng để rò rỉ hơn 49 triệu thông tin cá nhân của người dùng, đa phần là người nổi tiếng.

Nguyễn Chân

‹ › ×

Tin liên quan

Phát hiện lỗ hổng bảo mật nghiêm trọng trên Instagram

09:00 | 02/10/2020

Được hãng nghiên cứu bảo mật Check Point (Israel) phát hiện từ tháng 4, nhưng đến nay Facebook mới công bố sự tồn tại của lỗ hổng trên Instagram, cho phép tin tặc chiếm quyền điều khiển smartphone chỉ bằng một file ảnh chứa mã độc.

Instagram bị phạt vì vi phạm quản lý dữ liệu

13:00 | 16/09/2022

Cơ quan quản lý quyền dữ liệu riêng tư (DPC) của Ireland mới đây đã quyết định xử phạt Instagram số tiền 405 triệu Euro (tương đương 402 triệu bảng Anh) sau khi có kết quả điều tra cho rằng mạng xã hội này đã không bảo vệ được khối dữ liệu thông tin liên quan đến trẻ em.

Lỗi bảo mật của Instagram khiến người dùng có nguy cơ bị lộ mật khẩu

14:00 | 23/11/2018

Trung tuần tháng 11, mạng xã hội hình ảnh Instagram vừa gửi thông báo tới một số người dùng về việc mật khẩu của họ có thể đã bị rò rỉ do lỗi trong tính năng tải dữ liệu từ phía người dùng.

Tòa án Nga yêu cầu tịch thu toàn bộ tài sản của Google

09:00 | 05/05/2022

Theo Reuters đưa tin, một tòa án tại Moscow đã ra phán quyết tịch thu toàn bộ tài sản và các quỹ của Google tại Nga với tổng giá trị 500 triệu rúp (tương đương 7 triệu USD) trong một vụ kiện liên quan đến việc hãng công nghệ Mỹ này đã áp đặt hạn chế đối với kênh Youtube của một công ty truyền hình nổi tiếng ở Nga. Công ty Google thuộc Tập đoàn công nghệ Alphabet Inc vẫn chưa đưa ra phản hồi trước thông tin này.

Tin tặc rao bán trực tuyến thông tin của 6 triệu tài khoản Instagram

09:00 | 19/09/2017

Kẻ tấn công đã khai thác lỗ hổng API của ứng dụng Instagram, lấy cắp thông tin của hơn 6 triệu tài khoản và rao bán trực tuyến.

Tin cùng chuyên mục

Nhóm tin tặc Việt Nam bị nghi đánh cắp dữ liệu tài chính ở châu Á

10:00 | 24/04/2024

Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.

Giải mã chiến dịch phân phối phần mềm độc hại PikaBot của tin tặc Water Curupia

14:00 | 01/03/2024

Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.

Phần mềm độc hại DirtyMoe lây nhiễm hơn 2.000 máy tính tại Ukraine

13:00 | 07/02/2024

Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.

Phần mềm độc hại NKAbuse: Mối đe dọa mới với công nghệ Blockchain

08:00 | 12/01/2024

Trung tuần tháng 12, các nhà nghiên cứu của hãng bảo mật Kaspersky phát hiện một mối đe dọa đa nền tảng mới có tên là NKAbuse. Phần mềm độc hại này được viết bằng ngôn ngữ Golang, sử dụng công nghệ NKN (New Kind of Network) để trao đổi dữ liệu giữa các thiết bị mạng ngang hàng, được trang bị khả năng tạo backdoor và phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS), bên cạnh đó NKAbuse cũng có đủ sự linh hoạt để tạo các tệp nhị phân tương thích với nhiều kiến trúc khác nhau.