-
Xót xa khoảnh khắc một người bị nước lũ cuốn trôi ở Huế, nhiều người tìm cách ứng cứu nhưng không kịp trở tay -
Đúng ngày giá vàng "tuột dốc", người phụ nữ Hà Nội đem 120 chỉ vàng đi bán, tiết lộ giá mua vào mà choáng! -
Không khí lạnh tăng cường xuống miền Bắc -
Vụ xây nhầm nhà trên đất người khác ở Hải Phòng: Thần đèn bắt đầu cắt móng, dự kiến ngày hoàn tất? -
Vụ nhà 2 người dùng hết 63m3 nước: Cư dân dọa kiện ra tòa vì đồng hồ nước "nhảy múa" bất thường! -
Tử vi hàng ngày 30/10/2025 của 12 con giáp: Thứ 5 Sửu rạng rỡ -
Jack - J97: "Tôi gửi lời xin lỗi chân thành" -
Khởi tố, bắt tạm giam thêm một "mắt xích" trong hệ sinh thái Hoàng Hường -
Công an thông tin chính thức vụ xe bồn chở khí hóa lỏng phát nổ dữ dội tại Hưng Yên sau khi va chạm barie giới hạn chiều cao -
Hệ sinh thái trăm tỷ của Huấn Hoa Hồng đột ngột "im lìm": Loạt doanh nghiệp biến mất, sự thật phía sau là gì?
Công nghệ
01/10/2018 15:22Facebook bị hack như thế nào?
Facebook đã thả một quả bom vào giới bảo mật trên mạng Internet khi tiết lộ một (hoặc nhiều) hacker nào đó đã xâm nhập trang web, gây ảnh hưởng đến 50 triệu tài khoản người dùng.
Nhóm bảo mật của công ty này đã phát hiện 3 lỗi được sử dụng trong các cuộc tấn công, nói rằng chúng được sử dụng kết hợp để đột nhập thành công vào các tài khoản Facebook.
Forbes đã nói chuyện với hacker chuyên nghiệp về ứng dụng web, đồng thời là nhà nghiên cứu bảo mật mạng Thomas Shadwell để tìm ra giả thuyết về cách mạng xã hội lớn nhất thế giới bị hack.
“Chìa khoá” bị đánh cắp
Mục đích của kẻ tấn công chính là ăn cắp thứ gì được gọi là “mã thông báo người gửi OAuth”. Về cơ bản, các mã thông báo (token) này chứng minh người dùng Facebook là chủ sở hữu hợp pháp của một tài khoản và biểu thị những gì họ có quyền truy cập.
Shadwell mô tả: “mã thông báo OAuth giống như chìa khóa xe. Nếu bạn cầm chúng, bạn có thể sử dụng chiếc xe, không phân biệt bạn là chủ xe hay không”.
Trong bối cảnh của cuộc tấn công này, các token đó không chỉ mở tài khoản Facebook mà còn ảnh hưởng đến các trang web bạn sử dụng tài khoản Facebook để đăng nhập, chẳng hạn Instagram hoặc các trang tin tức.
Để có được những “chìa khoá” này, hacker đã lợi dụng một tính năng trên Facebook được gọi là “View As”. Nó cho phép bất cứ người dùng nào xem được thứ mà người khác có thể truy cập trên profile của họ. Ví dụ, nếu bạn đã chặn mẹ của mình xem ảnh, bạn có thể kiểm tra xem nó có hoạt động hiệu quả không, bằng cách mạo danh mẹ và xem profile của chính mình.
Sử dụng View As, khi đến ngày sinh nhật của bạn, Facebook sẽ hiển thị một box nhắc bạn (khi đó đang xem profile của mình với tư cách người khác) đăng video “chúc mừng sinh nhật”.
Từ một lỗi do Facebook đưa ra tháng 7/2017, video này cung cấp một trong những token quý giá đó, Shadwell nói. Cụ thể hơn, trình phát video đã tạo và gửi cho bạn token để đăng nhập vào ứng dụng Facebook trên smartphone như thể đó chính là người bạn đang mạo danh. Từ đó, bạn (trong trường hợp này là hacker) sẽ có toàn quyền truy cập vào tài khoản người khác.
Kẻ tấn công không gặp khó khăn khi áp dụng cách thức đơn giản này để xâm nhập tài khoản của hàng triệu người.
Facebook không cung cấp dữ liệu cụ thể về danh tính những tài khoản bị hack, cũng như địa điểm của họ. Shadwell nói sẽ mất rất nhiều kỹ năng để đưa ra được những dữ liệu này.
Thảm họa cho người dùng Internet
Điều đáng lo lắng nhất là việc vụ hack đã chứng minh: một công ty lớn với nguồn lực như Facebook cũng có thể bị tấn công, xâm nhập vào hàng chục triệu tài khoản trong khoảng thời gian dài (tháng 7/2017 đến nay).
Có được các token này, kẻ xấu hoàn toàn có thể chiếm dụng bất cứ tài khoản nào sử dụng Facebook làm phương thức đăng nhập. Do đó, con số thực tế của các các nhân bị ảnh hưởng có thể vượt xa 50 triệu.
Những công ty Internet lớn khác có đáng tin hơn Facebook sau sự cố này? Câu trả lời có lẽ là không.
“Chúng ta đã nhìn thấy mặt trái của xác thực tập trung vào một vài gã khổng lồ như Facebook, Google. Họ chắc chắn làm tốt hơn trong việc đảm bảo dữ liệu người dùng hơn hàng tỷ các trang web nhỏ. Nhưng khi họ bị xâm nhập, đó sẽ là một thảm họa cho cả hệ sinh thái”, chuyên gia bảo mật Matt Blaze nói trên Twitter.
Theo Minh Đăng (Tri Thức Trực Tuyến)
- Đây là iPhone Pro Max viền thép phẳng vẫn cực đáng mua, quanh 10 triệu ngon như iPhone 17 (07:18)
- Lý do khiến bạn mệt mỏi, mất ngủ, giảm năng lượng dù ăn uống lành mạnh (07:11)
- Liverpool sụp đổ ngay tại Anfield, thảm bại 0-3 trước Crystal Palace (07:03)
- Đúng ngày giá vàng "tuột dốc", người phụ nữ Hà Nội đem 120 chỉ vàng đi bán, tiết lộ giá mua vào mà choáng! (54 phút trước)
- Không khí lạnh tăng cường xuống miền Bắc (1 giờ trước)
- Vụ xây nhầm nhà trên đất người khác ở Hải Phòng: Thần đèn bắt đầu cắt móng, dự kiến ngày hoàn tất? (1 giờ trước)
- Tử vi hàng ngày 30/10/2025 của 12 con giáp: Thứ 5 Sửu rạng rỡ (1 giờ trước)
- Vụ nhà 2 người dùng hết 63m3 nước: Cư dân dọa kiện ra tòa vì đồng hồ nước "nhảy múa" bất thường! (29/10/25 23:33)
- Jack - J97: "Tôi gửi lời xin lỗi chân thành" (29/10/25 23:04)
- Real Madrid "đòi" UEFA hàng triệu euro sau cuộc đối đầu pháp lý (29/10/25 22:56)