Lỗ hổng này được nhà phân tích bảo mật M.J. Keith của công ty Alert Logic phát hiện và báo cáo cho Facebook hồi cuối tuần trước.

Các máy chủ của Facebook sử dụng mã thông báo (token) "post_form_id" để kiểm tra xem trình duyệt đang cố gắng làm gì, trước khi thực hiện bất kỳ thay đổi nào vào trang của người dùng. Tuy nhiên ông Keith phát hiện ra rằng, khi ông chỉ đơn giản là xóa token từ các thông điệp, ông có thể thay đổi nhiều thiết lập (settings) trên bất kỳ tài khoản Facebook nào.

Ông Keith có thể công khai thông tin cá nhân của người sử dụng, thay đổi hoặc đọc thông tin hồ sơ, thậm chí thêm các địa chỉ e-mail liên hệ mới. "Lỗi thực sự tồi tệ; bạn có thể gây ra rất nhiều hư hại với nó", ông nói.

Lỗi này có tên là “sự giả mạo yêu cầu chéo trang” (CSRF). Ông Simon Axten, phát ngôn viên của Facebook cho biết, công ty đã làm việc với Alert Logic để sửa chữa lỗi.

Hồi đầu tháng này, Facebook đã phải tạm thời ngừng hoạt động tính năng chat của mình, sau khi phát hiện lỗi cho phép người sử dụng nghe trộm các phiên chat riêng tư của bạn bè họ.

Theo ICTNews