Lỗ hổng Instagram‌ cho phép bất kỳ ai xem tài khoản riêng tư mà không cần theo dõi

08:00 | 28/06/2021 | LỖ HỔNG ATTT

Lỗ hổng Instagram mới cho phép bất kỳ ai cũng có thể xem nội dung các bài viết và story được đăng bởi các tài khoản riêng tư mà không cần phải theo dõi tài khoản đó.

Lỗ hổng Instagram‌ cho phép bất kỳ ai xem tài khoản riêng tư mà không cần theo dõi

Nhà nghiên cứu bảo mật Mayur Fartade cho biết: “Lỗ hổng này có thể cho phép kẻ tấn công có thể xem ảnh, video, story của tài khoản người dùng đang bật chế độ riêng tư, thậm chí chi tiết các bài đăng, câu chuyện, đoạn phim riêng tư được đăng tải mà không cần theo dõi người dùng đó bằng Media ID”.

Fartade đã thông báo lỗ hổng này với nhóm bảo mật của Facebook vào ngày 16/4/2021, sau đó lỗ hổng đã được vá vào ngày 15/6/2021. Fartade cũng nhận được khoản tiền 30.000 USD như một phần của chương trình tiền thưởng lỗ hổng bảo mật của công ty.

Mặc dù cuộc tấn công yêu cầu biết ID bài viết được liên kết với hình ảnh, video hoặc album bằng cách gắn các số nhận dạng, nhưng Fartade đã chứng minh rằng có thể tạo một yêu cầu POST tới một điểm cuối GraphQL và truy xuất dữ liệu nhạy cảm.

Lỗ hổng này khiến các thông tin chi tiết như số lượt thích, bình luận, tải về, display_url và image.uri tương ứng với ID đều có thể được trích xuất ngay cả khi không theo dõi người dùng, đồng thời để lộ trang Facebook được liên kết với .

Đây không phải là lần đầu Instagram bị phát hiện gây rò rỉ dữ liệu. Vào năm 2019, Instagram cũng để rò rỉ hơn 49 triệu thông tin cá nhân của người dùng, đa phần là người nổi tiếng.

Nguyễn Chân

‹ › ×

Tin liên quan

Instagram bị phạt vì vi phạm quản lý dữ liệu

13:00 | 16/09/2022

Cơ quan quản lý quyền dữ liệu riêng tư (DPC) của Ireland mới đây đã quyết định xử phạt Instagram số tiền 405 triệu Euro (tương đương 402 triệu bảng Anh) sau khi có kết quả điều tra cho rằng mạng xã hội này đã không bảo vệ được khối dữ liệu thông tin liên quan đến trẻ em.

Phát hiện lỗ hổng bảo mật nghiêm trọng trên Instagram

09:00 | 02/10/2020

Được hãng nghiên cứu bảo mật Check Point (Israel) phát hiện từ tháng 4, nhưng đến nay Facebook mới công bố sự tồn tại của lỗ hổng trên Instagram, cho phép tin tặc chiếm quyền điều khiển smartphone chỉ bằng một file ảnh chứa mã độc.

Tòa án Nga yêu cầu tịch thu toàn bộ tài sản của Google

09:00 | 05/05/2022

Theo Reuters đưa tin, một tòa án tại Moscow đã ra phán quyết tịch thu toàn bộ tài sản và các quỹ của Google tại Nga với tổng giá trị 500 triệu rúp (tương đương 7 triệu USD) trong một vụ kiện liên quan đến việc hãng công nghệ Mỹ này đã áp đặt hạn chế đối với kênh Youtube của một công ty truyền hình nổi tiếng ở Nga. Công ty Google thuộc Tập đoàn công nghệ Alphabet Inc vẫn chưa đưa ra phản hồi trước thông tin này.

Lỗi bảo mật của Instagram khiến người dùng có nguy cơ bị lộ mật khẩu

14:00 | 23/11/2018

Trung tuần tháng 11, mạng xã hội hình ảnh Instagram vừa gửi thông báo tới một số người dùng về việc mật khẩu của họ có thể đã bị rò rỉ do lỗi trong tính năng tải dữ liệu từ phía người dùng.

Tin tặc rao bán trực tuyến thông tin của 6 triệu tài khoản Instagram

09:00 | 19/09/2017

Kẻ tấn công đã khai thác lỗ hổng API của ứng dụng Instagram, lấy cắp thông tin của hơn 6 triệu tài khoản và rao bán trực tuyến.

Tin cùng chuyên mục

Hơn 4.000 website bán hàng trực tuyến sử dụng Adobe Commerce, Magento là mục tiêu của các cuộc tấn công mạng

17:00 | 10/10/2024

Các trang web cửa hàng trực tuyến sử dụng Adobe Commerce và Magento đang là mục tiêu của các cuộc tấn công mạng có tên là CosmicSting với tốc độ đáng báo động, trong đó kẻ tấn công đã tấn công khoảng 5% tổng số cửa hàng.

Apache OFBiz vá lỗ hổng nghiêm trọng cho phép thực thi mã từ xa

14:00 | 11/09/2024

Các nhà nghiên cứu bảo mật tại Rapid7 (Hoa Kỳ) phát hiện một lỗ hổng bảo mật mới trong hệ thống hoạch định nguồn lực doanh nghiệp (ERP) mã nguồn mở Apache OFBiz, có thể dẫn đến nguy cơ thực thi mã từ xa mà không cần xác thực trên các hệ điều hành như Linux và Windows.

Nhóm tin tặc APT17 nhắm mục tiêu vào các công ty Ý bằng phần mềm độc hại 9002 RAT

14:00 | 30/07/2024

Một nhóm tin tặc có liên quan đến Trung Quốc có tên là APT17 đã được phát hiện nhắm mục tiêu vào các công ty và tổ chức của Chính phủ Ý bằng cách sử dụng một biến thể của phần mềm độc hại đã biết có tên là 9002 RAT.

Toàn cảnh Microsoft gặp sự cố dịch vụ quy mô lớn gây ảnh hưởng trên toàn cầu

10:00 | 23/07/2024

Ngày 19/7, dịch vụ đám mây Azure, Microsoft 365 và Teams của Microsoft gặp trục trặc khiến hàng nghìn chuyến bay trên toàn cầu bị hoãn, hủy và gây gián đoạn hoạt động tại nhiều sân bay. Nguyên nhân vấn đề được cho là xuất phát từ lỗi trong hệ thống của Công ty an ninh mạng toàn cầu CrowdStrike (Mỹ) - đối tác của Microsoft. Đây được coi là sự cố lớn nhất trong lịch sử với mức độ ảnh hưởng sâu rộng từ giao thông vận tải, ngân hàng đến an ninh, y tế...