Nhà nghiên cứu bảo mật Mayur Fartade cho biết: “Lỗ hổng này có thể cho phép kẻ tấn công có thể xem ảnh, video, story của tài khoản người dùng đang bật chế độ riêng tư, thậm chí chi tiết các bài đăng, câu chuyện, đoạn phim riêng tư được đăng tải mà không cần theo dõi người dùng đó bằng Media ID”.
Fartade đã thông báo lỗ hổng này với nhóm bảo mật của Facebook vào ngày 16/4/2021, sau đó lỗ hổng đã được vá vào ngày 15/6/2021. Fartade cũng nhận được khoản tiền 30.000 USD như một phần của chương trình tiền thưởng lỗ hổng bảo mật của công ty.
Mặc dù cuộc tấn công yêu cầu biết ID bài viết được liên kết với hình ảnh, video hoặc album bằng cách gắn các số nhận dạng, nhưng Fartade đã chứng minh rằng có thể tạo một yêu cầu POST tới một điểm cuối GraphQL và truy xuất dữ liệu nhạy cảm.
Lỗ hổng này khiến các thông tin chi tiết như số lượt thích, bình luận, tải về, display_url và image.uri tương ứng với ID đều có thể được trích xuất ngay cả khi không theo dõi người dùng, đồng thời để lộ trang Facebook được liên kết với tài khoản Instagram.
Đây không phải là lần đầu Instagram bị phát hiện lỗ hổng gây rò rỉ dữ liệu. Vào năm 2019, Instagram cũng để rò rỉ hơn 49 triệu thông tin cá nhân của người dùng, đa phần là người nổi tiếng.
Nguyễn Chân
09:00 | 02/10/2020
13:00 | 16/09/2022
14:00 | 23/11/2018
09:00 | 05/05/2022
09:00 | 19/09/2017
10:00 | 24/04/2024
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
13:00 | 07/02/2024
Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.
08:00 | 12/01/2024
Trung tuần tháng 12, các nhà nghiên cứu của hãng bảo mật Kaspersky phát hiện một mối đe dọa đa nền tảng mới có tên là NKAbuse. Phần mềm độc hại này được viết bằng ngôn ngữ Golang, sử dụng công nghệ NKN (New Kind of Network) để trao đổi dữ liệu giữa các thiết bị mạng ngang hàng, được trang bị khả năng tạo backdoor và phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS), bên cạnh đó NKAbuse cũng có đủ sự linh hoạt để tạo các tệp nhị phân tương thích với nhiều kiến trúc khác nhau.
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 24/04/2024