Phát hiện lỗ hổng nguy hiểm trên trang beta Facebook - tài khoản của bạn có thể bị hack bất cứ lúc nào!

Một nhóm hacker mũ trắng (white hat) đến từ Ấn Độ vừa bóc phốt một lỗ hổng bảo mật cực kỳ nghiêm trọng trên Facebook đây này! Cụ thể là các trang beta của Facebook không có tính năng giới hạn số lần nhập mã xác nhận khi reset mật khẩu, khiến họ có thể dò mã và hack vào bất cứ tài khoản nào của người dùng. Tin vui là lỗ hổng này đã được báo cáo cho Facebook và hãng đã thưởng cho nhóm hacker này tới 15.000 đô la (hơn 300 triệu đồng đó nha) để đáp lại thiện ý!

Trên blog cá nhân, nhóm hacker đã phơi bày chi tiết cách họ có thể hack các tài khoản Facebook. Trưởng nhóm là kỹ sư bảo mật tên Anand Prakash còn đăng luôn video demo cách làm lên mạng cho mọi người xem nè!

Nghe qua thì hơi kỹ thuật nhưng mình giải thích đơn giản vậy: Bình thường khi bạn quên mật khẩu và dùng chức năng "Forgot Password?", Facebook sẽ gửi cho bạn một mã bảo mật 6 số qua tin nhắn hoặc email để xác nhận. Nhập đúng mã là bạn có thể reset mật khẩu và đăng nhập lại tài khoản. Nếu nhập sai thì Facebook cho bạn thử lại vài lần trước khi khóa - cơ chế này gọi là rate-limiting, nhằm chống việc hacker cứ thử đi thử lại mãi để dò ra mã đúng (kiểu brute force ấy). ⏱️

Nhưng plot twist ở đây là: các trang beta của Facebook (ví dụ beta.facebook.com) lại KHÔNG CÓ chức năng giới hạn này! Lợi dụng lỗ hổng này, nhóm của Prakash đã có thể nhập sai mã xác nhận 6 số với số lần VÔ HẠN cho đến khi dò ra được mã đúng. Sau khi đăng nhập vào tài khoản nạn nhân, họ có thể xem tất cả mọi thứ: tin nhắn riêng tư, thông tin thẻ tín dụng trong mục thanh toán, ảnh cá nhân... Ôi chao nguy hiểm ghê!

Theo Prakash, lỗ hổng này được nhóm phát hiện và báo cáo cho Facebook vào ngày 22/2. Đến ngày 2/3 thì hãng đã thưởng 15.000 đô la cho nhóm để cảm ơn. Hiện tại Facebook vẫn chưa lên tiếng xác nhận chính thức thông tin này, và vẫn có khả năng đây chỉ là một trò PR của nhóm hacker (nhưng mà có tiền rồi thì chắc thật rồi ). Tuy nhiên, trước đây Facebook cũng đã từng thưởng cho các nhóm hacker khác khi họ phát hiện và báo cáo lỗ hổng bảo mật.

Nguồn: tinhte.vn
 
Back
Top