Facebook trao thưởng 30.000 USD cho hacker phát hiện lỗi bảo mật nghiêm trọng ở Instagram

Facebook đã thưởng 30.000 USD (khoảng hơn 688 triệu đồng) cho một hacker Ấn Độ vì đã phát hiện ra các lỗi độc hại trên ứng dụng Instagram.

Lỗi được phát hiện cho phép bất kỳ ai cũng có thể xem các bài đăng, story, reel và IGTV mà không cần theo dõi người dùng, ngay cả khi họ để chế độ riêng tư.

Mặc dù Facebook hiện đã giải quyết vấn đề, nhưng lỗi này nếu không được khắc phục sẽ cho phép các hacker truy cập bất hợp pháp vào hình ảnh, video riêng tư của người dùng mà không cần theo dõi họ.

Mayur Fartade sống ở Solapur, bang Maharashtra, Ấn Độ, người có các kỹ năng như C ++, Python, đã có thể phát hiện ra lỗi cho phép hacker xem các bài đăng, story, reel và IGTV mà không cần theo dõi người dùng, ngay cả khi họ để chế độ riêng tư bằng Media ID.

Anh giải thích trong một bài đăng chi tiết trên Medium rằng, kẻ tấn công cũng có thể lưu trữ ảnh, video và thông tin chi tiết về các phương tiện cụ thể bằng cách sử dụng Media ID.

“Dữ liệu của người dùng có thể bị đọc không đúng cách. Kẻ tấn công có thể tạo lại url cdn hợp lệ của các story và bài đăng đã lưu trữ. Ngoài ra, bằng Media ID, kẻ tấn công có thể lưu trữ thông tin chi tiết về phương tiện cụ thể và bộ lọc, chúng đều riêng tư và được lưu trữ” - Fartade chia sẻ.

Thông tin lấy được từ Instagram cũng có thể được sử dụng để truy cập vào các trang Facebook liên kết với tài khoản Instagram.

Fartade lần đầu tiên báo cáo về lỗi Instagram vào ngày 16 tháng 4. Sau đó 3 ngày anh nhận được phản hồi từ Facebook và yêu cầu anh cung cấp thêm thông tin. Vào ngày 29 tháng 4, Facebook đã vá lỗ hổng bảo mật này. Vào ngày 15 tháng 6, anh nhận được khoản thưởng 30.000USD.

Trong lá thư gửi cho Fartade, Facebook cảm ơn anh về phát hiện này: “Sau khi xem xét vấn đề, chúng tôi đã quyết định trao cho bạn khoản tiền thưởng 30.000 USD… Báo cáo của bạn nêu bật một tình huống có thể cho phép hacker xem các phương tiện được nhắm mục tiêu trên Instagram. Kịch bản này sẽ yêu cầu kẻ tấn công biết ID phương tiện cụ thể. Chúng tôi đã khắc phục sự cố này. Cảm ơn bạn một lần nữa vì phát hiện này. Chúng tôi mong nhận được nhiều phát hiện hơn nữa trong thời gian tới!”.

Fartade (21 tuổi, sinh viên khoa học kỹ thuật máy tính), chia sẻ rằng anh đã thử dùng Instagram trong một tuần nhưng ban đầu không tìm thấy bất kỳ lỗ nào. Tuy nhiên, sau khi tìm hiểu kỹ hơn về các tính năng như thông tin chi tiết, quảng cáo, Fartade đã phát hiện ra lỗi độc hại trên.

Fartade muốn trở thành một nhà phát triển phần mềm trong tương lai.