-
Người đàn ông 40 tuổi suýt chết vì... ăn lẩu, BS cảnh báo 8 nhóm người phải cẩn trọng! -
Xót xa bé gái 4 tuổi bị nước cuốn trôi khi cha mẹ dọn đồ chạy lũ -
Clip: Bé trai trôi giữa dòng sông Hàn cuộn xiết được người dân dũng cảm cứu sống chỉ trong 45 giây -
Cháy căn hộ tầng 12 chung cư Winhouse Hàm Nghi, hàng trăm người hoảng loạn tháo chạy -
Xót xa khoảnh khắc một người bị nước lũ cuốn trôi ở Huế, nhiều người tìm cách ứng cứu nhưng không kịp trở tay -
Đúng ngày giá vàng "tuột dốc", người phụ nữ Hà Nội đem 120 chỉ vàng đi bán, tiết lộ giá mua vào mà choáng! -
Không khí lạnh tăng cường xuống miền Bắc -
Vụ xây nhầm nhà trên đất người khác ở Hải Phòng: Thần đèn bắt đầu cắt móng, dự kiến ngày hoàn tất? -
Vụ nhà 2 người dùng hết 63m3 nước: Cư dân dọa kiện ra tòa vì đồng hồ nước "nhảy múa" bất thường! -
Tử vi hàng ngày 30/10/2025 của 12 con giáp: Thứ 5 Sửu rạng rỡ
Công nghệ
01/10/2018 15:22Facebook bị hack như thế nào?
Facebook đã thả một quả bom vào giới bảo mật trên mạng Internet khi tiết lộ một (hoặc nhiều) hacker nào đó đã xâm nhập trang web, gây ảnh hưởng đến 50 triệu tài khoản người dùng.
Nhóm bảo mật của công ty này đã phát hiện 3 lỗi được sử dụng trong các cuộc tấn công, nói rằng chúng được sử dụng kết hợp để đột nhập thành công vào các tài khoản Facebook.
Forbes đã nói chuyện với hacker chuyên nghiệp về ứng dụng web, đồng thời là nhà nghiên cứu bảo mật mạng Thomas Shadwell để tìm ra giả thuyết về cách mạng xã hội lớn nhất thế giới bị hack.
“Chìa khoá” bị đánh cắp
Mục đích của kẻ tấn công chính là ăn cắp thứ gì được gọi là “mã thông báo người gửi OAuth”. Về cơ bản, các mã thông báo (token) này chứng minh người dùng Facebook là chủ sở hữu hợp pháp của một tài khoản và biểu thị những gì họ có quyền truy cập.
Shadwell mô tả: “mã thông báo OAuth giống như chìa khóa xe. Nếu bạn cầm chúng, bạn có thể sử dụng chiếc xe, không phân biệt bạn là chủ xe hay không”.
Trong bối cảnh của cuộc tấn công này, các token đó không chỉ mở tài khoản Facebook mà còn ảnh hưởng đến các trang web bạn sử dụng tài khoản Facebook để đăng nhập, chẳng hạn Instagram hoặc các trang tin tức.
Để có được những “chìa khoá” này, hacker đã lợi dụng một tính năng trên Facebook được gọi là “View As”. Nó cho phép bất cứ người dùng nào xem được thứ mà người khác có thể truy cập trên profile của họ. Ví dụ, nếu bạn đã chặn mẹ của mình xem ảnh, bạn có thể kiểm tra xem nó có hoạt động hiệu quả không, bằng cách mạo danh mẹ và xem profile của chính mình.
Sử dụng View As, khi đến ngày sinh nhật của bạn, Facebook sẽ hiển thị một box nhắc bạn (khi đó đang xem profile của mình với tư cách người khác) đăng video “chúc mừng sinh nhật”.
Từ một lỗi do Facebook đưa ra tháng 7/2017, video này cung cấp một trong những token quý giá đó, Shadwell nói. Cụ thể hơn, trình phát video đã tạo và gửi cho bạn token để đăng nhập vào ứng dụng Facebook trên smartphone như thể đó chính là người bạn đang mạo danh. Từ đó, bạn (trong trường hợp này là hacker) sẽ có toàn quyền truy cập vào tài khoản người khác.
Kẻ tấn công không gặp khó khăn khi áp dụng cách thức đơn giản này để xâm nhập tài khoản của hàng triệu người.
Facebook không cung cấp dữ liệu cụ thể về danh tính những tài khoản bị hack, cũng như địa điểm của họ. Shadwell nói sẽ mất rất nhiều kỹ năng để đưa ra được những dữ liệu này.
Thảm họa cho người dùng Internet
Điều đáng lo lắng nhất là việc vụ hack đã chứng minh: một công ty lớn với nguồn lực như Facebook cũng có thể bị tấn công, xâm nhập vào hàng chục triệu tài khoản trong khoảng thời gian dài (tháng 7/2017 đến nay).
Có được các token này, kẻ xấu hoàn toàn có thể chiếm dụng bất cứ tài khoản nào sử dụng Facebook làm phương thức đăng nhập. Do đó, con số thực tế của các các nhân bị ảnh hưởng có thể vượt xa 50 triệu.
Những công ty Internet lớn khác có đáng tin hơn Facebook sau sự cố này? Câu trả lời có lẽ là không.
“Chúng ta đã nhìn thấy mặt trái của xác thực tập trung vào một vài gã khổng lồ như Facebook, Google. Họ chắc chắn làm tốt hơn trong việc đảm bảo dữ liệu người dùng hơn hàng tỷ các trang web nhỏ. Nhưng khi họ bị xâm nhập, đó sẽ là một thảm họa cho cả hệ sinh thái”, chuyên gia bảo mật Matt Blaze nói trên Twitter.
Theo Minh Đăng (Tri Thức Trực Tuyến)
- Đoàn Di Băng và Nguyễn Quốc Vũ hiện tại gây bất ngờ (10:06)
- Sức hút của G-Dragon: Lượng tìm kiếm khách sạn Hà Nội tăng vọt hơn 250% (11 phút trước)
- Hà Nội: Nhanh chóng bắt giữ đối tượng trộm xe máy Honda Vision trên phố Quang Trung (17 phút trước)
- Vụ án tập đoàn Phúc Sơn: Nguyễn Văn Hậu xin bán hơn 500 lượng vàng để khắc phục hậu quả (25 phút trước)
- Người đàn ông 40 tuổi suýt chết vì... ăn lẩu, BS cảnh báo 8 nhóm người phải cẩn trọng! (26 phút trước)
- Lộ diện đối thủ về độ mượt của iPhone 17, dự kiến có giá rẻ, chụp ảnh đầy sức hấp dẫn (26 phút trước)
- Xót xa bé gái 4 tuổi bị nước cuốn trôi khi cha mẹ dọn đồ chạy lũ (36 phút trước)
- Quyết định gây tiếc nuối: Vì sao VTV Bình Điền Long An từ bỏ cơ hội tham dự giải vô địch thế giới 2025? (41 phút trước)
- Xe điện Micro EV siêu mini liệu có tạo nên cơn sốt thay thế xe máy tại Việt Nam? (45 phút trước)
- Tóc Tiên trấn an fan giữa lúc vướng tin đồn trục trặc hôn nhân (47 phút trước)