Mới đây, qua cộng đồng J2Team Community trên MXH Facebook, một người dùng đã chia sẻ một lỗ hổng bảo mật của phần mềm nhắn tin Zalo. Lỗ hổng này cho phép người dùng Zalo có thể thêm bất cứ ai trở thành bạn bè mà không cần có sự cho phép.

Cũng như các nền tảng mạng xã hội khác, hai người dùng Zalo nếu có mối quan hệ "bạn bè" sẽ mang đến nhiều tính năng hơn so với việc chỉ là "người lạ". Cụ thể, người dùng sẽ có thể nhắn tin, gọi điện, xem trạng thái online, xem dòng thời gian (bao gồm bài đăng, ảnh và video), bình luận vào các bài đăng... mà không cần sự đồng ý của người còn lại.

Lê Anh Trường, người đã phát hiện ra lỗ hổng, cho biết đã sử dụng các hàm API của Zalo để thực hiện điều này. Trong phần bình luận, Lê Anh Trường cho biết mình đang là sinh viên năm nhất tại một trường đại học tại Đà Nẵng.

Theo thành viên này chia sẻ, lỗ hổng được phát hiện vào đầu tháng 4/2024. Hiện chưa rõ lỗ hổng này xuất hiện từ bao giờ và đã bị khai thác trước đó hay chưa.

Sau đây là toàn bộ bài viết được Lê Anh Trường chia sẻ:

Thành viên Lê Anh Trường cũng đã đăng tải một đoạn video ngắn, demo trực tiếp quá trình khai thác lỗ hổng.

Sau khi phát hiện lỗ hổng, Lê Anh Trường đã thông báo với đội ngũ bảo mật của Zalo (VNG). Tới ngày 15/04/2024, đội ngũ bảo mật của Zalo đã có phản hồi, cho biết lỗ hổng đã được khắc phục.

Đoạn email được Lê Anh Trường chia sẻ cho thấy đội ngũ bảo mật Zalo đánh giá mức độ nghiêm trọng của lỗ hổng này ở mức "trung bình", ở mức 5.3 điểm theo thang chấm điểm CVSS 3.0. Zalo sẽ đưa tên của bạn Lê Anh Trường vào danh sách "Hall of Fame" (danh sách những người đã có đóng góp).

Nhiều tập đoàn/công ty lớn trong lĩnh vực IT có chương trình báo cáo lỗi (bug bounty) khi người dùng phát hiện ra lỗ hổng bảo mật của phần mềm. Tuy nhiên, đoạn email không đề cập tới việc bạn Lê Anh Trường có nhận được khoản tiền thưởng nào cho đóng góp của mình hay không. Trong phần bình luận, người dùng này sau đó xác nhận về việc không nhận được tiền thưởng khi báo cáo lỗ hổng này.