Một nhà nghiên cứu bảo mật đã tìm ra một lỗ hổng có thể chiếm đoạt bất kỳ tài khoản Facebook nào bằng cách lợi dụng điểm yếu trong cơ chế đặt lại mật khẩu của mạng xã hội này.
Theo nhà nghiên cứu Samip Aryal, lỗ hổng liên quan đến quá trình đặt lại mật khẩu Facebook thông qua tính năng tùy chọn gửi mã xác thực gồm 6 chữ số đến một thiết bị khác do người dùng đăng nhập hoặc đăng ký trước. Mã này có tác dụng xác thực người dùng chính chủ và sử dụng để hoàn tất quá trình đặt lại mật khẩu trên một thiết bị mới (chưa từng đăng nhập trước đó).
Trong quá trình phân tích truy vấn, anh đã phát hiện ra Facebook gửi mã xác thực cố định (không thay đổi dãy số), có hiệu lực trong vòng 2 giờ và không có biện pháp bảo mật nào để ngăn chặn hình thức tấn công brute force - sử dụng phương pháp thử tất cả chuỗi mật khẩu có thể để tìm ra dãy ký tự đúng.
Điều này đồng nghĩa trong vòng 2 giờ kể từ khi gửi mã, kẻ gian có thể nhập sai mã kích hoạt vô số lần mà không gặp bất kỳ biện pháp ngăn chặn nào từ hệ thống của Facebook. Thông thường, nếu nhập sai mã số hoặc mật khẩu quá số lần quy định, một hệ thống an ninh sẽ tạm dừng quyền đăng nhập đối với tài khoản khả nghi.
Khoảng thời gian 2 tiếng đồng hồ có thể không nhiều với người thường, nhưng với tin tặc sử dụng công cụ trợ giúp hoàn toàn có thể thực hiện được.
Sau khi nhận được báo cáo của Aryal, Meta đã nhanh chóng giải quyết lỗ hổng Facebook. Đóng góp của Aryal không chỉ mang lại cho anh phần thưởng tiền thưởng cao nhất, số tiền chính xác vẫn chưa được tiết lộ mà còn củng cố tầm quan trọng của các biện pháp an ninh.
Việc Aryal và nhóm bảo mật của Facebook giải quyết lỗ hổng nghiêm trọng này nhấn mạnh tầm quan trọng của những nỗ lực hợp tác trong lĩnh vực an ninh mạng. Bằng cách khai thác và sau đó vá lỗ hổng này, họ đã ngăn chặn hành vi chiếm đoạt tài khoản có khả năng xảy ra trên diện rộng, đồng thời nhấn mạnh tầm quan trọng của việc liên tục cảnh giác và cải tiến các biện pháp bảo mật kỹ thuật số.
Theo Bit Defender