Nam sinh Việt được Facebook vinh danh 3 năm liền vì tìm ra 10 lỗ hổng

Nguyễn Quốc Khánh, sinh năm 2000, sinh viên tại TP HCM, đứng thứ sáu trong bảng vinh danh 40 hacker mũ trắng của Facebook từ đầu năm đến nay vì những đóng góp về bảo mật. Đây là năm thứ 3 liên tiếp, Khánh có tên trong danh sách này vì tìm ra 10 lỗ hổng của mạng xã hội lớn nhất thế giới.

Gần đây nhất, Khánh phát hiện lỗ hổng cho phép xác định người đăng các bài viết ẩn danh trên nhóm Facebook.

Đăng bài ẩn danh là tính năng mới được Facebook bổ sung cho phép người dùng không để lộ danh tính với người khác trừ quản trị viên khi chia sẻ bài viết vào nhóm. Nhưng Khánh đã phát hiện ra rằng khi gửi đi lần lượt ID của từng thành viên trong nhóm kèm với ID của bài viết với cú pháp storyID, nếu máy chủ trả về kết quả là “null” thì người đó chính là chủ nhân của bài viết, ngược lại là không phải.

Nếu kẻ xấu khai thác thành công lỗ hổng này sẽ có thể xác định được người đăng bài viết ẩn danh trong group dù không phải là quản trị viên.

Sau khi nhận báo cáo, Facebook đã khắc phục lỗ hổng này. Nhưng sau khi đào sâu nghiên cứu, Khánh phát hiện ra rằng lỗ hổng chưa được vá một cách triệt để và cậu lại tìm ra một cách khác để xác định người đăng bài dựa trên độ dài tham số encrypted_tracking. Facebook tiếp tục ghi nhận thành tích thứ hai của Khánh.

Năm 2020, Khánh tìm ra lỗ hổng đầu tiên trên Facebook. Lỗ hổng này cho phép người khác có thể chỉnh sửa bài viết tuyển dụng trên Facebook của bất cứ ai và được xếp hạng mức độ nguy hiểm cao.

Sau đó, Khánh tiếp tục tìm hiểu sâu hơn về mạng xã hội này và phát hiện thêm hơn 10 lỗ hổng khác.