Trong bài chia sẻ trên Medium, Neeraj Sharma - nhà nghiên cứu bảo mật người Ấn Độ cho biết đã tìm ra lỗi bảo mật cực kỳ nghiêm trọng trên Instagram.
Lỗi này giúp hacker có thể dễ dàng thay đổi ảnh thumbnail trên video Reels của nạn nhân chỉ bằng các thao tác đơn giản.
Neeraj cho biết đã bắt đầu việc dò tìm lỗi bảo mật từ tháng 12/2021. Các hàm API công khai của mạng chia sẻ video công khai này đều đã được kiểm tra qua nhưng đã không thể tìm thấy bất cứ lỗi nào ở đó.
Đến phần video Reels, anh thử các cách thay đổi hình thu nhỏ (thumbnail) trên video, đồng thời thử can thiệp vào các yêu cầu HTTP sau khi thấy một số yêu cầu có thể phát sinh ra lỗi bảo mật.
Sau nhiều lần thử nghiệm, Neeraj xác định hai tham số clips_media_id và upload_id hoàn toàn có thể bị khai thác.
Việc thay đổi các tham số này bằng nội dung do hacker chèn vào đã làm thay đổi ảnh bìa của video Reels trên tài khoản của nạn nhân.
Theo Neeraj, lỗi này khiến anh kinh ngạc khi đến từ mạng xã hội thuộc tập đoàn Meta. Để thực hiện cuộc tấn công này, chỉ cần có Media ID phim Reels của người dùng mục tiêu.
Lỗi này đã được báo cáo đến nhóm bảo mật của Meta vào ngày 31/1, Meta đã liên lạc với Neeraj vào ngày 8/2 và xác nhận lỗi thực sự xảy ra.
Anh nhận được email thông báo phần thưởng là 45.000 USD và thưởng thêm 4.500 USD vào ngày 11/5.
Hiện Meta đã vá lỗi bảo mật này trên Instagram.