Cài đặt bảo mật Facebook khiến danh tính của bạn dễ bị ăn trộm

January 20, 2016

Reza Moaiandin, giám đốc kỹ thuật tại Salt Agency, đã tìm ra cách khai thác một tính năng Facebook quan trọng để thu thập dữ liệu cá nhân thuộc về người dùng.

Cài đặt bảo mật Facebook khiến danh tính của bạn dễ bị xâm nhập

Nếu bạn chú ý đến các thiết lập bảo mật trong hồ sơ Facebook của mình, bạn sẽ tìm thấy một thiết lập riêng tư: “Ai có thể tìm ra tôi?”, hoặc “Ai có thể tìm thấy bạn bằng cách sử dụng số điện thoại bạn cung cấp?” được thiết lập mặc định dành cho tất cả mọi người’. Cấu hình này cho phép bạn tìm kiếm bất cứ ai chỉ bằng cách nhập số điện thoại của họ.

Bạn có thể tưởng tượng, hacker có thể tận dụng kẽ hở này như thế nào?

Bằng cách khai thác tính năng mặc định này với một thủ thuật đơn giản, nhà nghiên cứu đã có thể kết nối hàng ngàn số điện thoại vào tài khoản Facebook tương ứng. Hơn nữa, lỗ hổng bảo mật này trong công cụ tìm kiếm của Facebook gần đây đã dẫn đến ăn cắp dữ liệu khoảng 1,5 triệu người dùng Facebook.

Những “kẽ hở” cho phép kẻ tấn công thu thập thông tin cá nhân (PII) từ hàng triệu người sử dụng, bao gồm cả họ tên, số điện thoại, địa điểm, hình ảnh và nhiều hơn thế.

Nhà nghiên cứu bảo mật sử dụng một scipt có thứ tự để tạo ra mọi sự kết hợp số điện thoại có thể được sử dụng ở Anh, Mỹ và Canada.

Về cơ bản, ông đã thành lập một bộ tạo số điện thoại mà thông qua các con số có thể và sử dụng Application Programming Interface của Facebook (API) (một công cụ cho phép các nhà phát triển xây dựng các ứng dụng liên kết với các mạng xã hội) để thu thập ID người dùng facebook liên kết với từng số điện thoại.

Một khi bạn có ID của người sử dụng, các API trả về chi tiết người dùng bao gồm:

– Số điện thoại,

– Họ và tên,

– Ảnh đại diện,

– Loại điện thoại nó gắn liền với,

– Phiên bản Facebook Messenger chủ tài khoản đang sử dụng,

– Dù có hay không vài người có thể đưa dữ liệu lên điện thoại.

Nhà nghiên cứu tuyên bố rằng ông có thể tìm thêm thông tin về người dùng Facebook nếu ông tiếp tục nghiên cứu. Hơn nữa, ông trích dẫn:

“Với lỗ hổng bảo mật này, một người có kiến ​​thức cần thiết có thể thu hoạch chi tiết thông tin công khai của người dùng, những người cho phép truy cập công cộng đến các số điện thoại của họ, thu thập thông tin để sau đó sử dụng hoặc bán các chi tiết về cá nhân người dùng cho các mục đích mà người dùng có thể không mong muốn”, Moaiandin cho biết.

Facebook không thể vá nó, nhưng bạn có thể!

Moaiandin đã cảnh báo Facebook về vấn đề nghiêm trọng này và yêu cầu họ mã hóa trước các API Facebook. Nhà nghiên cứu đã liên hệ với Facebook hai lần kể từ khi phát hiện ra lỗ hổng. Tuy nhiên, Facebook dường như không coi nó là một lỗ hổng có thể bị lạm dụng. Theo Facebook Security Team, có kiểm soát để giám sát và giảm thiểu những loại lạm dụng API như vậy. Công ty cho biết có những quy định nghiêm ngặt hạn chế cách các nhà phát triển có thể sử dụng các API và động thái ngay tức thì chống lại bất cứ ai phá vỡ chúng.

Làm thế nào để sửa chữa vấn đề bảo mật Facebook

Trong khi đợi chờ Facebook khắc phục lỗi, bạn có thể tự khắc phục bằng một số bước đơn giản dưới đây:

– Đừng chia sẻ số điện thoại của bạn trong hồ sơ

– Ngoài ra, thay đổi thiết lập mặc định Everyone/Mọi người thành Friend/Chỉ dành cho bạn bè.

(Nguồn: SecurityDaily.net)