Nhà nghiên cứu bảo mật Mayur Fartade cho biết: “Lỗ hổng này có thể cho phép kẻ tấn công có thể xem ảnh, video, story của tài khoản người dùng đang bật chế độ riêng tư, thậm chí chi tiết các bài đăng, câu chuyện, đoạn phim riêng tư được đăng tải mà không cần theo dõi người dùng đó bằng Media ID”.
Fartade đã thông báo lỗ hổng này với nhóm bảo mật của Facebook vào ngày 16/4/2021, sau đó lỗ hổng đã được vá vào ngày 15/6/2021. Fartade cũng nhận được khoản tiền 30.000 USD như một phần của chương trình tiền thưởng lỗ hổng bảo mật của công ty.
Mặc dù cuộc tấn công yêu cầu biết ID bài viết được liên kết với hình ảnh, video hoặc album bằng cách gắn các số nhận dạng, nhưng Fartade đã chứng minh rằng có thể tạo một yêu cầu POST tới một điểm cuối GraphQL và truy xuất dữ liệu nhạy cảm.
Lỗ hổng này khiến các thông tin chi tiết như số lượt thích, bình luận, tải về, display_url và image.uri tương ứng với ID đều có thể được trích xuất ngay cả khi không theo dõi người dùng, đồng thời để lộ trang Facebook được liên kết với tài khoản Instagram.
Đây không phải là lần đầu Instagram bị phát hiện lỗ hổng gây rò rỉ dữ liệu. Vào năm 2019, Instagram cũng để rò rỉ hơn 49 triệu thông tin cá nhân của người dùng, đa phần là người nổi tiếng.
Nguyễn Chân
09:00 | 02/10/2020
13:00 | 16/09/2022
14:00 | 23/11/2018
09:00 | 05/05/2022
09:00 | 19/09/2017
10:00 | 13/03/2024
Các nhà nghiên cứu của công ty bảo mật đám mây Zscaler (Hoa Kỳ) cho biết, kể từ tháng 12/2023 các tác nhân đe dọa đã tạo ra các trang web giả mạo phần mềm họp trực tuyến phổ biến như Google Meet, Skype và Zoom để phát tán Trojan truy cập từ xa (RAT), bao gồm SpyNote RAT cho nền tảng Android, NjRAT và DCRat trên Windows.
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
08:00 | 19/01/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Malwarebytes (Mỹ) đã xác định được phiên bản cập nhật của phần mềm đánh cắp thông tin trên macOS có tên là Atomic Stealer (hoặc AMOS), cho thấy các tác nhân đe dọa phát triển phần mềm độc hại này đang tích cực nâng cao khả năng của nó. Trong bài viết này sẽ xem xét những thay đổi mới nhất của Atomic Stealer và việc phân phối gần đây các quảng cáo độc hại thông qua công cụ tìm kiếm Google.
Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.
09:00 | 28/04/2024