Mắc sai lầm sơ đẳng, Facebook khiến khả năng bảo mật 2 lớp vô dụng trước hacker
Nắm trong tay các mạng xã hội lớn nhất thế giới, nhưng hệ thống quản lý đăng nhập mới của Meta đối với Facebook và Instagram đang chứa một lỗ hổng sơ đẳng có thể cho phép các hacker vô hiệu hóa bảo mật 2 lớp của tài khoản dù chỉ biết số điện thoại của nạn nhân.
Theo nhà nghiên cứu bảo mật Gtm Mänôz tại Nepal, cho dù trang bị cho người dùng tính năng bảo mật 2 lớp, nhưng Meta lại không đặt giới hạn cho số lần đăng nhập sai của người dùng khi truy cập vào hệ thống quản lý đăng nhập Meta Accounts Center mới - hệ thống quản lý đăng nhập này sẽ cho phép người dùng liên kết mọi tài khoản trong mạng xã hội của Meta vào làm một, bao gồm cả Facebook và Instagram.
Với lỗ hổng của Meta, hacker chỉ cần biết số điện thoại của người dùng, sau đó liên kết số điện thoại của nạn nhân với tài khoản Facebook của kẻ tấn công. Lúc này hệ thống sẽ gửi tin nhắn SMS chứa mã xác thực đến số điện thoại của nạn nhân. Dù không nhận được tin nhắn này, hacker có thể tìm ra mã xác thực khi tấn công theo kiểu "brute force" - vét cạn - để đoán được mã xác thực. Đây là bước rất quan trọng vì kẻ tấn công không bị giới hạn số lần thử sai cho đến khi đoán được đúng mã xác thực.
Khi đoán được mã xác thực, số điện thoại của nạn nhân sẽ được liên kết với tài khoản Facebook của kẻ tấn công. Một cuộc tấn công thành công sẽ dẫn đến việc Meta gửi tin nhắn cho nạn nhân thông báo việc bảo mật 2 lớp đối với tài khoản của họ đã bị vô hiệu hóa khi số điện thoại của họ được liên kết với tài khoản của người khác.
Trả lời TechCrunch, Mänôz cho biết: "Về cơ bản, tác động lớn nhất của cuộc tấn công là thu hồi khả năng bảo mật 2 lớp thông qua SMS chỉ bằng cách biết số điện thoại của người khác".
Về lý thuyết, mối nguy của cuộc tấn công có thể còn lớn hơn nhiều nếu xét đến khả năng hacker đã lừa lấy được mật khẩu tài khoản Facebook của nạn nhân từ trước đó. Vì vậy khi bị mất khả năng bảo mật 2 lớp, kẻ tấn công có thể chiếm đoạt tài khoản mạng xã hội.
May mắn là Mänôz đã tìm được lỗ hổng này trong hệ thống Meta Accounts Center và thông báo cho công ty từ giữa tháng 9 năm 2022. Chỉ vài ngày sau đó, lỗ hổng này đã được Meta vá lại và thưởng cho Mänôz 27.200 USD vì báo cáo lỗ hổng này.
Phát ngôn viên của Meta, Gabby Curtis cho biết, vào thời điểm xuất hiện lỗ hổng, hệ thống này vẫn đang trong giai đoạn thử nghiệm với một lượng nhỏ người dùng. Sau khi phát hiện lỗ hổng này, Meta đã tiến hành điều tra và nhận thấy không có bằng chứng nào về việc lỗ hổng đã bị khai thác cho các cuộc tấn công và rằng Meta cũng không nhận thấy tần suất sử dụng tính năng này gia tăng đột biến trong thời gian thử nghiệm - một dấu hiệu cho thấy không có ai lạm dụng nó trong thời gian đó.
Tham khảo TechCrunch, The Verge
- Từ khóa:
- Mắc sai lầm
- Vô hiệu hóa
- Mạng xã hội
- Hệ thống quản lý
- Số điện thoại
- Nhà nghiên cứu
- Người dùng tính năng
- Cho phép người dùng
Xem thêm
- Đi ăn nhà hàng mang theo rượu bia rồi "bóc phốt" vì bị tính phí, thanh niên nhận phản ứng bất ngờ từ dân mạng đến nỗi phải xóa bài
- Bán tải điện VinFast VF Wild về Việt Nam, dân tình xôn xao, mong có giá dưới 1 tỷ để chốt cọc
- Mua Mercedes GLC của showroom xe cũ 4 tháng chưa sang tên được, nữ chủ xe tuyệt vọng: ‘Thấy dấu hiệu bị lừa, có ô tô mà không dám đi’
- Điều hòa mini giá rẻ vài trăm nghìn: Mua để nhận về không phải làn gió lạnh mà là bài học nhớ đời
- VinFast VF 3 giá chỉ 240 triệu: Xe điện nhỏ có đủ an toàn?
- Măng cụt xanh lại sốt xình xịch, giá nửa triệu đồng/kg
- Xe bị xịt bóng hơi phải gọi cứu hộ, chủ xe VinFast Lux SA2.0 cho hay: 'Sửa trong vòng 1 ngày, còn được nhận thêm tiền'
Tin mới
Tin cùng chuyên mục
