Author Archives: Net Sys Sec

Lỗ hổng cho phép tin tặc xóa video trên Facebook

Một nhà nghiên cứu bảo mật đã phát hiện ra lỗ hổng nghiêm trọng trong Facebook cho phép tin tặc xóa bất cứ video nào chia sẻ trên tường của nạn nhân.

Lỗ hổng được nhà nghiên cứu Dan Melamed vào tháng 6 năm 2016 giúp ông xóa bất cứ video nào trên Facebook và vô hiệu hóa bình luận trên video tùy ý.

Để khai thác lỗ hổng, đầu tiên Melamed tạo một sự kiện công khai trên Facebook Page và tải lên một video. Trong khi tải lên video, Melamed can thiệp vào POST request bằng công cụ Fiddler Web Debugger và sao đó thay thế giá trị Video ID bằng giá trị của một video khác của nạn nhân. Máy chủ Facebook sẽ trả về lỗi nhưng video vẫn được tải lên thành công.

Sau khi hoàn thành, Melamed sẽ xóa sự kiện vừa tạo, thực chất xóa cả video đính kèm. Điều này dẫn tới video của nạn nhân sẽ bị xóa khỏi Facebook. Hoặc nếu lựa chọn “Tắt bình luận cho bài viết này” thì video của nạn nhân cũng bị tắt bình luận.

Video minh họa


Melamed đã được Facebook trao 10,000 USD tiền thưởng với lỗ hổng của mình. Đây không phải lần đầu tiên Facebook gặp sự cố liên quan tới xóa video trên nền tảng mạng xã hội của mình.

Nguồn:securitydaily.net

Phát hiện thiết bị đánh cắp thông tin thẻ ATM tại TP.HCM

Một cây ATM được cho là bị gắn thiết bị đánh cắp mật khẩu (mã PIN) vừa bị phát hiện tại TP.HCM.

Cụ thể vào tối 20/01, một người dân sống tại TP.HCM đi rút tiền tại một cây ATM đặt tại đường Phạm Ngũ Lão, Quận 1 thì phát hiện một thiết bị lạ đặt tại nắp đậy phía trên phần bàn phím nhập mã PIN. Lo lắng về việc bị đánh cắp thông tin từ thẻ ATM, anh đã dừng ngay việc rút tiền lại, chụp ảnh lại toàn bộ sự việc và đăng tải thông tin lên Facebook để cảnh báo mọi người.

SkimmerATM Continue reading

Top 10 lỗ hổng bảo mật đình đám nhất năm 2016

An toàn thông tin là chủ đề đang ngày càng nóng hổi hơn trên Internet. Những lỗ hổng nguy hiểm khiến hàng triệu dữ liệu nhạy cảm bị rò rỉ. Nhóm Hacker có tổ chức và trình độ luôn tìm cách để xâm phạm dữ liệu nhạy cảm không chỉ của người dùng mà còn cả các công ty, tập đoàn, quân sự quốc gia cũng là mục tiêu bị nhắm tới. Các lỗ hổng nguy hiểm được bán hàng ngày tại các diễn đàn deep web là Zero-day exploit, thứ để mua là tiền ảo Bitcoin.

Top 10 Security Vulnerabilities

Continue reading