Lỗ hổng bảo mật Zalo cho phép người lạ tiếp cận thông tin cá nhân của người dùng

Mới đây, tại một nhóm cộng đồng chuyên sâu về công nghệ có hơn nửa triệu thành viên đã xuất hiện bài chia sẻ của thành viên có tên L.A.T về lỗ hổng bảo mật trên ứng dụng Zalo. Người này cho biết lỗ hổng cho phép người dùng Zalo có thể thêm bất cứ ai trở thành bạn bè mà không cần có sự đồng ý của đối phương.

"Trong thời gian từ đầu tháng 4/2024 thì mình đã phát hiện hai lỗ hổng bảo mật đáng chú ý trên Zalo: Khả năng kết bạn mà không cần sự đồng ý của người lạ", thành viên L.A.T mở đầu bài đăng của mình, đồng thời đăng tải video quay lại quá trình người này khai thác lỗ hổng của Zalo.

Theo đó, thông qua số điện thoại của người dùng, nếu họ có sử dụng Zalo, L.A.T có thể lợi dụng lỗ hổng của Zalo để giúp bản thân có thể kết bạn với bất kỳ người lạ nào, kể cả họ có đồng tình hay không.

Giống như các nền tảng mạng xã hội, mối quan hệ "bạn bè" cung cấp nhiều hướng tiếp cận đối phương hơn đối với người dùng như nhắn tin, tương tác trên các bài đăng, nắm được ngày tháng năm sinh, số điện thoại..., thay vì bị hạn chế khi hai bên vẫn là "người lạ".

Như vậy, nếu có thể tận dụng lỗ hổng để kết bạn với bất cứ tài khoản nào trên Zalo, người dùng có thể tạo ra ảnh hưởng nhiều hơn vào quyền riêng tư của đối phương mà chưa có sự đồng ý.

L.A.T cho biết lỗ hổng được phát hiện vào đầu tháng 4/2024 và chưa rõ vấn đề xuất hiện từ bao giờ và đã từng bị người khác khai thác hay chưa. Sau khi nhận được báo cáo từ L.A.T, nhà phát triển Zalo đã xem xét và thông báo khắc phục lỗ hổng bảo mật nói trên vào ngày 15/4.

Theo giới thiệu, L.A.T đang là sinh viên năm đầu tại một trường đại học của Đà Nẵng. Nhờ phát hiện lỗi bảo mật, đội ngũ Zalo đã công nhận sinh viên này là một thành viên của HoF (Hall of Fame - một hình thức vinh danh của nền tảng). 

Nhiều thành viên cộng đồng cho rằng đây là một lỗi bảo mật nghiêm trọng, có thể bị các đối tượng xấu lợi dụng để thực hiện hành vi lừa đảo. Họ cũng tò mò về khoản Bug Bounty (Săn lỗi nhận thưởng) mà L.A.T nhận được từ Zalo. Tuy nhiên, theo xác nhận từ sinh viên này, Zalo không trả thưởng cho phát hiện nói trên và L.A.T cho biết bản thân không báo cáo lỗi bảo mật chỉ để nhận tiền thưởng.

Bug Bounty là một hình thức treo thưởng phổ biến ở các công ty công nghệ nhằ, kết nối với cộng đồng chuyên gia để tìm kiếm các lỗ hổng bảo mật trong sản phẩm của họ. Doanh nghiệp sẽ thưởng cho các chuyên gia số tiền tương ứng với mỗi lỗ hổng được tìm thấy.

Việc kết nối với các tay săn tiền thưởng giúp doanh nghiệp nhanh chóng phát hiện các lỗ hổng bảo mật sớm hơn, tăng cường bảo mật cho sản phẩm. Ngược lại, những phát hiện bảo mật cũng sẽ mang lại danh tiếng cho các tay săn tiền thưởng, đồng thời nâng cao kỹ năng của họ.

Một số chương trình Bug Bounty nổi tiếng như: Google Bug Bounty Program, Facebook Bug Bounty Program, Apple Security Bounty Program, Microsoft Bounty Program, HackerOne...