Ngày 20/09, , cậu bé 14 tuổi người Brazil – Andres Alonso – đã chia sẻ với cộng đồng cách mà cậu “hưởng trọn” phần thưởng 25,000 USD (khoảng 580 triệu đồng) từ Facebook, chỉ với việc… vô tình tìm ra một lỗ hổng rất nghiêm trọng của trang mạng xã hội này.
Trong lúc mày mò làm một ứng dụng tích hợp trong Instagram, cậu phải tìm hiểu về Facebook Spark AR – một ứng dụng cho phép người dùng tạo những hiệu ứng thực tế tăng cường ảo cho những đoạn video của mình.
Cậu đã nghiên cứu về cách mà Spark AR tạo ra những filter link cho các filter (bộ lọc) ở ứng dụng trên điện thoại. Để làm được điều này, cậu tiến hành chèn những đoạn code vào theo phương thức XSS nhưng không thành công.
Sau đó, Alonso nảy ý định làm điều này với phiên bản Instagram trên điện thoại. Mặc dù filter không load thành công, nhưng khi kiểm tra các thuộc tính của trang web, cậu đã phát hiện ra một vài tag XSS mà cậu đã cố gắng đưa nó vào tồn tại trong đoạn code của trang.
Tuy nhiên, những cố gắng của Alonso tiếp tục thất bại khi cậu cố gắng đưa vào những đoạn mã XSS dài hơn, do giới hạn ký tự của thuộc tính trang. Cậu chuyển hướng sang tấn công theo phương thức Open Redirect – và vô tình, Instagram tự động chuyển hướng sang trang web cậu mong muốn.
Alonso đã thông báo với Facebook về toàn bộ quá trình “khám phá” này của mình. Đội ngũ nhân viên của trang web đã kiểm tra lại, và xác nhận đây là một lỗ hổng bảo mật nghiêm trọng của Instagram phiên bản web. Họ cũng đã tìm hiểu và đảm bảo chưa ai bị ảnh hưởng bởi lỗi này.
Vì “thành tích” vô cùng… ngẫu nhiên này, Alonso đã được Facebook gửi tặng một khoản “trả công” cực kỳ hậu hĩnh mà ngay cả những chuyên gia bảo mật kỳ cựu cũng chưa chắc được nhận.
XSS là một kỹ thuật tấn công khá phổ biến tới các website. Nó thường được thực hiện bằng cách chèn các đoạn script độc hại nhằm ăn cắp cookies và lấy các thông tin về người dùng. Open Redirect lại có khả năng điều hướng người dùng đến những trang web độc hại, khiến thiết bị của nạn nhân bị lây nhiễm malware nguy hiểm.
Facebook vẫn thường xuyên treo những phần thưởng giá trị cho mỗi lỗi hay lỗ hổng bảo mật được tìm thấy bởi bất cứ ai trên thế giới. Rất nhiều người đã tham gia vào công cuộc khai thác này, và cũng đã có một số lượng phần thưởng được trao, tùy theo mức độ nghiêm trọng của lỗi mà họ tìm được.