Facebook cho rằng những gì Ahmed trình diễn chỉ là một trò chơi khăm, tất nhiên không có khoản tiền nào dành cho Ahmed. “Tôi đã báo cáo cho Facebook về lỗ hổng này. Sau một thời gian dài chờ đợi, tôi đã nhận được hồi âm, nhưng họ phủ nhận điều đó. Họ nói tôi chỉ khai thác lỗi trên tài khoản thử nghiệm, trong khi tôi đã tận dụng lỗ hổng để xóa một tài khoản Facebook thật sự. Và lỗ hổng đã được vá ngay sau email trả lời”, Ahmed nói trên blog của mình.
Đoạn mã được Ahmed tận dụng để khai thác lỗi:
Trong đó, selected_user[0] và _user là hai tham số quan trọng giúp hacker khai thác lỗ hổng thành công. Để xóa một tài khoản, hacker chỉ việc đổi Victems Profile ID thành mã tài khoản của nạn nhân và thay Attackers Profile ID bằng mã tài khoản của người tấn công, tức là tài khoản Facebook đang đăng nhập trên trình duyệt. Shreateh tuyên bố lỗ hổng này có thể xóa tài khoản của cả CEO Facebook, Mark Zukerberg.
Thông báo tài khoản Facebook đã bị xóa/khóa.
Tuy nhiên, trả lời trang Computerworld, Michael Kirkland, quản lý truyền thông của Facebook nói:
Một kỹ sư bảo mật của Facebook nói thêm:
Thật ra, Facebook không hề cung cấp tính năng xóa ngay lập tức tài khoản mà chỉ có chế độ xóa sau 14 ngày gửi yêu cầu (Delete) hoặc tạm khóa tài khoản (Deactive). Ngoài ra, đoạn video còn có một điểm nghi ngờ, đó là hacker đã cố ý giấu đi thanh Address của trình duyệt, do đó người xem sẽ khó xác định được nội dung hiển thị là tương ứng với đường dẫn nào.
Trước đó vài ngày, một hacker người Ấn Độ, tên Arul Kumar đã khai thác thành công một lỗ hổng cho phép xóa ảnh đã đăng của bất kỳ ai, và hacker này nhận được 12.500 USD tiền thưởng từ Facebook.
Cách đây hơn 2 tuần, một nhà nghiên cứu bảo mật người Palestine cũng đã từng khai thác thành công một lỗ hổng của Facebook, lỗ hổng cho phép hacker đăng một bài viết lên trang cá nhân của bất kỳ ai, kể cả người chưa kết bạn, thậm chí là tài khoản Facebook của Mark Zukerberg. Song anh đã không được Facebook trả thưởng vì lí do “đã vi phạm quy định bảo mật của Facebook”, nhưng Ehraz Ahmed, một nhà nghiên cứu bảo mật độc lập cộng đồng mạng đã chung tay góp tặng anh tổng cộng 13.125 USD khiến Facebook phải bẻ mặt.
Video quá trình khai thác lỗi của Ahmed:
Nguồn thông tin được HOCHOIMOINGAY.com sưu tầm từ Internet