Facebook chi 15.000 USD "bịt miệng" hacker tìm ra lỗ hổng chiếm toàn bộ tài khoản người dùng

479a4db6ea0057731bb4.jpg


Facebook vừa "chịu chơi" chi tận 15.000 USD cho Anand Prakash, một anh hacker đến từ Ấn Độ vì đã "có công" tìm ra cách hack toàn bộ tài khoản Facebook Con số này nghe có vẻ khủng để sửa một lỗi "nhỏ nhỏ", nhưng theo Facebook thì Prakash xứng đáng từng xu vì nếu để lọt vào tay hacker xấu thì hậu quả không dám tưởng tượng luôn!

Vậy anh chàng này hack như nào? Nghe xong các bạn sẽ giật mình đó:

Khi bạn quên mật khẩu, Facebook sẽ gửi mã gồm 6 ký tự về điện thoại hoặc email. Bạn chỉ được phép nhập sai từ 10-12 lần trước khi bị khóa. Công nghệ này có tên gọi "rate-limiting" - giống như tính năng bảo mật trên iPhone/iPad ấy (sau 10 lần nhập sai là tự động xóa sạch data luôn) Mục đích là ngăn chặn hacker dùng chiêu brute-force (tấn công liên hoàn) để mò password.



Nhưng plot twist ở đây là: ngoài trang facebook.com ra, còn có trang beta.facebook.com (chứa toàn bộ data người dùng nha các bạn!) Đây là nơi Facebook test các tính năng mới trước khi tung ra chính thức. Và trang beta này lại... KHÔNG có rate-limiting!

Prakash đã lợi dụng điểm yếu này, dùng brute-force để giả mạo quên mật khẩu, Facebook gửi mã 6 ký tự về, rồi anh mò 6 ký tự đó là xong việc thôi. Ez game!

May mắn là anh chàng này thuộc team "white hat" (hacker mũ trắng), đã báo cho Facebook kịp thời để sửa lỗi và nhận được khoản thưởng xứng đáng. Facebook chia sẻ: "Một trong những giá trị to lớn của chương trình Bug Bounty Program (BBP) - 'săn lỗi nhận tiền' là phát hiện sự cố trước khi rơi vào tay kẻ xấu. Chúng tôi rất vui mừng và xin tuyên dương Prakash vì báo cáo tuyệt vời của anh" ✨

Được biết từ khi khởi động chương trình BBP năm 2011 đến giờ, Facebook đã chi tổng cộng 4,3 triệu USD (chứ không phải tỷ đâu nhé!) cho hơn 800 nhà nghiên cứu bảo mật trên toàn thế giới.

Mời các bạn xem video mô tả chi tiết quá trình hack nhé!

Nguồn: tinhte.vn
 
Back
Top