Dịch vụ tin nhắn tự hủy Snapchat gặp lỗi bảo mật nghiêm trọng

Ngày 30/12/2013 09:30 AM (GMT+7)

Hacker có thể tìm ra số điện thoại thật của người dùng Snapchat nhờ lỗ hổng trong API "find_friends" của ứng dụng này.

Theo một báo cáo mới đây của tổ chức bảo mật có tên Gibson Security, một lỗ hổng trong ứng dụng tin nhắn tự hủy Snapchat có thể dẫn tới nhiều nguy hiểm cho người dùng. Cụ thể, lỗ hổng bảo mật của Snapchat nằm trong API có tên "find_friends" của ứng dụng này. Tính năng “find_friends” của Snapchat được dùng để giúp người sử dụng kiểm tra các số điện thoại trong danh bạ của họ xem có ai cùng dùng Snapchat hay không từ đó gửi lời mời kết bạn. 

Dịch vụ tin nhắn tự hủy Snapchat gặp lỗi bảo mật nghiêm trọng - 1

Bằng cách lợi dụng API "find-friends", hacker có thể tìm kiếm, đối chiếu tên người dùng với kho số điện thoại được chuẩn bị sẵn, từ đó tìm ra số điện thoại tương ứng với tên hiển thị - tên người dùng Snapchat. Hacker có thể đem các thông tin này để bán cho các công ty quảng cáo, scam hay theo dõi nạn nhân. Snapchat là dịch vụ nhắn tin khá phổ biến hiện nay, cho phép người dùng chia sẻ ảnh, video, hay những hình vẽ do họ tự sáng tác. Tính năng nổi bật của Snapchat là nó cho phép các tin nhắn tự hủy sau một khoảng thời gian nào đó do người dùng thiết lập trước.

Gibson Security cho biết họ đã phát hiện ra lỗi bảo mật này từ từ hồi tháng Tám. Hãng cũng đã thông báo cho Snapchat về lỗ hổng bảo mật này, tuy nhiên, họ không nhận được bất kì phản hồi nào của nhà cung cấp dịch vụ. Đó là lý do Gibson Security quyết định công bố rộng rãi lỗ hổng nói trên. 

Theo Gibson Security, hacker có thể tìm ra số điện thoại của nạn nhân ngay cả khi tài khoản ở chế độ riêng tư (private). Nhóm nghiên cứu bảo mật này cho biết họ có thể tìm ra 5000 số điện thoại chỉ trong 1 phút. Hãng cũng cho biết rằng nếu muốn, Snapchat có thể fix lỗi bảo mật này bằng cách giới hạn số lần tìm kiếm số điện thoại tương ứng với tên tài khoản "Snapchat. Gibson Security còn công bố thêm một lỗ hổng trong yêu cầu đăng kí tài khoản Snapchat có thể giúp hacker đăng kí hàng loạt tài khoản mới một cách dễ dàng qua API mà không gặp bất kì khó khăn nào. 

Theo GenK
Nguồn:

Tin liên quan