Jack Whitten, một chuyên gia an ninh mạng ở Anh có trang blog fin1ite, đã được trao phần thưởng lớn bằng tiền mặt: 20.000 USD. Đây là phần thưởng lớn nhất mà Facebook trao cho một lỗi về an ninh.
Facebook thưởng 20.000 USD cho người phát hiện lỗi an ninh - Ảnh: Fox News |
Jack Whitten, chuyên gia an ninh mạng ở Anh có trang blog fin1ite, đã phát hiện một lỗi cho phép một tin tặc có thể cướp hồ sơ cá nhân của một người dùng mà không cần khai báo dữ liệu đầu vào của người dùng đó trên Facebook.
Lỗi này ảnh hưởng tới những người kết nối điện thoại di động của họ với tài khoản Facebook accounts. Những người dùng này có thể đăng nhập vào Facebook bằng số điện thoại và nhận những cập nhật trên trang mạng xã hội này thông qua tin nhắn.
Quá trình tấn công và lấy hồ sơ cá nhân này khá phức tạp, nhưng Whitten cho rằng một người chỉ cần am hiểu công nghệ vừa phải là có thể thực hiện. Mỗi người dùng Facebook qua tin nhắn điện thoại có một mã hồ sơ riêng. Bằng cách thay đổi số hồ sơ của mình thành hồ sơ của mục tiêu tấn công, tin tặc có thể nhắn tin cho Facebook để nhận mã xác nhận về tài khoản của mục tiêu.
Từ đó, tin tặc có thể tiếp cận mã nguồn của trang đăng nhập Facebook và đánh lừa hệ thống bằng mã xác nhận. Facebook sau đó sẽ yêu cầu mật khẩu. Tuy nhiên, vì trang đăng nhập giờ đã lẫn lộn giữa kẻ tấn công và mục tiêu, kẻ tấn công có thể gõ mật khẩu của chính hắn và vẫn được chấp nhận. Từ đó, kẻ tấn công có thể yêu cầu một mật khẩu mới thông qua tin nhắn và hoàn tất quá trình cướp tài khoản Facebook của mục tiêu.
Sau đó, bất cứ thông tin nào người dùng lưu trữ trên Facebook sẽ thuộc về kẻ tấn công. Đây chính là phương thức đánh cắp nhân thân hay được đề cập (do nhiều người dùng sử dụng tên, địa chỉ và số điện thoại thật trên Facebook). Nó cũng cho phép tin tặc lan truyền các đường dẫn độc hại dễ dàng hơn bởi người dùng có khuynh hướng mở các đường dẫn do bạn bè mà họ quen trên Facebook gửi. Kết hợp các đường dẫn độc hại với việc đánh cắp tài khoản, hàng nghìn người dùng có thể bị ảnh hưởng.
Facebook mất năm ngày để sửa chữa lỗi nói trên và đã thưởng cho Whitten 20.000 USD.
(*) Không sao chép dưới mọi hình thức khi chưa có sự đồng ý bằng văn bản của Báo Hànộimới.