Flickr sửa lỗi nghiêm trọng, chặn hacker upload ảnh lạ lên tài khoản người dùng

WhiteHat News #ID:2018

WhiteHat Support
20/03/2017
129
443 bài viết
Flickr sửa lỗi nghiêm trọng, chặn hacker upload ảnh lạ lên tài khoản người dùng
(VnReview) Dịch vụ lưu trữ video và hình ảnh thuộc sở hữu của Yahoo là Flickr vừa dính một lỗi nghiêm trọng, tạo cơ hội cho các hacker tải lên hàng ngàn bức ảnh lạ vào các tài khoản ngẫu nhiên của người dùng.
Flicker1.jpg

Theo TheNextWeb, lỗi nghiêm trọng này xuất phát từ tính năng "Upload by email" của Flickr, cho phép người dùng tải ảnh trực tiếp lên tài khoản thông qua việc gởi email đến một địa chỉ do hệ thống của Flickr tự động tạo ra và gán cho từng người dùng.

Người phát hiện ra lỗi là một học sinh trung học, đồng thời là nhà nghiên cứu an ninh mạng tên Jazzy. Anh cho biết, nếu một ai đó vô tình hoặc cố ý nắm được địa chỉ email mà Flickr gán cho người dùng, thì hắn có thể tải ảnh lên tài khoản của họ mà không cần sự cho phép của bất kỳ ai.
Flicker2.png

Khi nghiên cứu sâu hơn với hi vọng có thể bằng cách nào đó thu thập được danh sách các địa chỉ email do Flickr tạo ra này, Jazzy tuy không thể phá được "tường lửa" của Flickr nhưng cũng đã phát hiện ra một tùy chọn cho phép anh ta thay đổi địa chỉ email kia và nhận một địa chỉ email mới. Đồng thời, anh cũng nhận thấy công thức chung để tạo ra các địa chỉ email này là:

<Random dictionary word><Random number 0-100><Random Dictionary word>@photos.flickr.com​

Trong đó, phần "Random dictionary word" luôn là một từ ngẫu nhiên có 6 ký tự trở xuống được lấy ra từ một cuốn từ điển tiếng Anh thông dụng.

Thế là Jazzy tạo ra một đoạn mã Python với nhiệm vụ thay đổi liên địa chỉ email Flickr gán cho anh và ghi lại từng lần thay đổi đó vào một tập tin riêng. Sau một đêm, đoạn mã này đã cho ra hơn 20.000 địa chỉ khác nhau. Jazzy lại viết một đoạn mã khác để sắp xếp các địa chỉ này và tìm ra quy luật xuất hiện của mỗi từ trong phần "Random dictionary word".

Kết quả, trong số tổng cộng 23.692 địa chỉ email, Jazzy phát hiện ra Flickr chỉ sử dụng tổng cộng 935 từ ngẫu nhiên, nghĩa là về lý thuyết Flickr có thể tạo ra 87,5 triệu địa chỉ email, trong khi dịch vụ này chỉ có khoảng 50 triệu người dùng! Điều này cho thấy mỗi địa chỉ email ngẫu nhiên được tạo ra có 50% khả năng được gán cho một người dùng, và 50% là quá đủ cho một hacker với một đoạn mã ngắn, một tá hình ảnh "bẩn", một dàn máy tính dưới trung bình, và một vài tiếng đồng hồ rảnh rỗi, làm ngập tràn Flickr của bạn với những nội dung không mấy hay ho.

Jazzy đã thông báo với Yahoo và lỗ hổng nguy hiểm này đã nhanh chóng được xử lý.
Theo VnReview
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên