Một hacker mũ trắng người Ấn Độ có tên Laxman Muthiyah đã công bố một lỗ hỏng bảo mật khá nguy hiểm trong Graph API (hàm lập trình) của Facebook. Thông qua lỗ hỏng này, hacker có thể tiến hành xóa album ảnh (chế độ public) của bất kỳ ai mà anh ta muốn.

Sau khi tiến hành thử nghiệm thành công, Laxman Muthiyah đã nhanh chóng viết một bài cảnh báo trên trang blog cá nhân của mình và chỉ ra những lỗ hỏng từ đấy. Ngay khi phát hiện lỗ hỏng, anh đã báo cáo lên Facebook và chỉ mất 2 giờ Facebook đã khắc phục được lỗ hỏng này.

 Ghi nhận đầu tiên từ nhóm bảo mật Facebook

 Lời cám ơn cùng số tiền 12.500 USD được Facebook ghi nhận và gửi tặng.

Tất nhiên với phát hiện nghiêm trọng này, Facebook đã khắc phục lỗi sau khi anh này thông báo và đồng thời cũng gửi lời cám ơn cùng số tiền 12.500 USD cho việc phát hiện này của anh.

Về cách thức thì theo tài liệu lập trình của Facebook dành cho các lập trình viên, Album ảnh là không thể xóa được thông qua các hàm Graph API. Tuy nhiên, Laxman quyết định thử dùng token tạo ra từ ứng dụng Facebook dành cho Android bởi trên Android, chúng ta có lựa chọn xóa album ảnh trong app Facebook. Và Facebook cho Android cũng dùng hàm lập trình Graph API chung. Và Laxman đã thử lấy ID của một album ảnh nào đó cộng với token tạo ra bởi ứng dụng Facebook trên Android để xóa. Kết quả là, album ảnh bị xóa thành công. Như vậy, Laxman có thể xóa bất cứ album ảnh nào. 

Mời bạn đọc xem qua video màn trình diễn xóa album của Laxman: