04/02/2023 19:38
Nắm trong tay các mạng xã hội lớn nhất thế giới, nhưng hệ thống quản lý đăng nhập mới của Meta đối với Facebook và Instagram đang chứa một lỗ hổng có thể cho phép các hacker vô hiệu hóa bảo mật 2 lớp của tài khoản dù chỉ biết số điện thoại của nạn nhân.
Theo nhà nghiên cứu bảo mật Gtm Mänôz tại Nepal, dù trang bị cho người dùng bảo mật 2 lớp, nhưng Meta lại không đặt giới hạn cho số lần đăng nhập sai, khi truy cập vào hệ thống quản lý đăng nhập Meta Accounts Center mới – hệ thống quản lý đăng nhập này sẽ cho phép người dùng liên kết mọi tài khoản trong mạng xã hội của Meta vào làm một, bao gồm cả Facebook và Instagram.
Với lỗ hổng của Meta, hacker chỉ cần biết số điện thoại của người dùng, sau đó liên kết số điện thoại của nạn nhân với tài khoản Facebook của kẻ tấn công. Lúc này hệ thống sẽ gửi tin nhắn SMS chứa mã xác thực đến số điện thoại của nạn nhân. Dù không nhận được tin nhắn này, hacker có thể tìm ra mã xác thực khi tấn công theo kiểu "brute force" – vét cạn – để đoán được mã xác thực. Đây là bước rất quan trọng vì kẻ tấn công không bị giới hạn số lần thử sai cho đến khi đoán được đúng mã xác thực.
Khi đoán được mã xác thực, một cuộc tấn công thành công sẽ dẫn đến việc Meta gửi tin nhắn cho nạn nhân thông báo việc bảo mật 2 lớp đối với tài khoản của họ đã bị vô hiệu hóa khi số điện thoại của họ được liên kết với tài khoản của người khác.
Trả lời TechCrunch, Mänôz cho biết: "Về cơ bản, tác động lớn nhất của cuộc tấn công là thu hồi khả năng bảo mật 2 lớp thông qua SMS chỉ bằng cách biết số điện thoại của người khác".
Về lý thuyết, mối nguy của cuộc tấn công có thể còn lớn hơn nếu xét khả năng hacker lừa lấy được mật khẩu tài khoản Facebook của nạn nhân từ trước. Vì vậy khi bị mất khả năng bảo mật 2 lớp, kẻ tấn công có thể chiếm đoạt tài khoản mạng xã hội.
May mắn là Mänôz đã tìm được lỗ hổng này trong hệ thống Meta Accounts Center và thông báo cho công ty từ giữa tháng 9 năm 2022. Chỉ vài ngày sau đó, lỗ hổng này đã được Meta vá lại và thưởng cho Mänôz 27.200 USD vì báo cáo lỗ hổng này.
Phát ngôn viên của Meta, Gabby Curtis cho biết, khi phát hiện lỗ hổng này, Meta đã tiến hành điều tra và nhận thấy không có bằng chứng nào về việc lỗ hổng đã bị khai thác cho các cuộc tấn công và Meta cũng không nhận thấy tần suất sử dụng tính năng này gia tăng đột biến trong thời gian thử nghiệm – một dấu hiệu cho thấy không có ai lạm dụng nó trong thời gian đó.
T.T (Theo thethaovanhoa.vn)
(KGO) - Ủy ban Cạnh tranh Ấn Độ (CCI) đã quyết định phạt WhatsApp 25,4 triệu USD do vi phạm các quy định về cạnh tranh liên quan chính sách bảo mật gây tranh cãi của ứng dụng này vào năm 2021.
Tổng số lượt truy cập: