Phát hiện lỗi bảo mật lớn trên Instagram cho phép hacker đánh cắp tài khoản bất kỳ
Một nhà nghiên cứu bảo mật đã tìm được một lỗ hổng để qua mặt hệ thống xác thực của Instagram, cho phép truy cập vào bất kỳ tài khoản nào.
Anh ta đã đưa lỗi này lên blog của mình, giải thích cách tìm được lỗ hổng cho phép hack bất kỳ tài khoản nào. Ban đầu anh ta đã thử kiểm tra giao diện web của Instagram để tìm lỗ hổng nhưng kết quả là không có. Sau đó, anh bắt đầu lại công việc trên ứng dụng mạng xã hội này.
Giống như những ứng dụng khác, Instagram gửi mã OTP gồm sáu chữ số để đặt lại mật khẩu khi người dùng bị quên mật khẩu. Laxman Muthiyah quyết định đào sâu vào cách xử lý của hệ thống bằng cách thực hiện một cuộc tấn công, điều này cũng giúp anh ta phát hiện ra Instagram không hoàn toàn đưa vào danh sách đen những địa chỉ IP dùng cho việc tấn công . Sau đó, Muthiyah đã khai thác vấn đề này bằng cách viết một script chuyển đổi giữa các địa chỉ IP.
Video đang HOT
Anh ta đã tiếp cận lỗ hổng này bằng phương thức Race Hazard – tình trạng của một hệ thống hoạt động sai khi nhận nhiều yêu cầu cùng một lúc và IP rotation. Muthiyah cũng cho biết anh ta đã sử dụng 1000 IP khác nhau trong các bài kiểm tra của mình để gửi 200.000 yêu cầu. Dưới đây là video chứng minh cho việc này.
Anh cũng cho biết trong các cuộc tấn công thực sự, hacker sẽ cần khoảng 5000 IP có thể dễ dàng thuê từ các nhà cung cấp dịch vụ đám mây như Amazon hoặc Google với giá dưới 150 USD. Sau vụ việc này, Facebook đã thừa nhận lỗ hổng và thưởng cho Laxman Muthiyah với số tiền 30000 USD.
May mắn thay, lỗi này đã được phát hiện bởi một nhà nghiên cứu bảo mật. Nếu lỗ hổng được tìm thấy và khai thác bởi một hacker mũ đen thì đã khiến cho tính riêng tư của toàn bộ mạng xã hội này bị đe dọa.
Theo Nghe Nhìn VN
Hàng triệu người dùng vẫn tái sử dụng mật khẩu của mình
Bất chấp việc được cảnh báo rủi ro và hành vi vi phạm an ninh mạng trong doanh nghiệp, hầu hết người dùng vẫn sử dụng một mật khẩu cho nhiều tài khoản khác nhau và tái sử dụng mật khẩu cũ của mình.
Các công nghệ bảo mật mới được tạo ra để thay thế mật khẩu, nhưng dường như quá trình chuyển đổi đang diễn ra một cách chậm chạp và việc triển khai chúng còn gặp nhiều vướng mắc.
Bảo mật mật khẩu là một cuộc chiến lâu dài, với những thành tựu mà công nghệ mang lại cũng như những tiến bộ trong cách thức tấn công vào thông tin cá nhân của người dùng. Giữ an toàn thông tin được bảo vệ bằng mật khẩu là quan trọng và khó khăn hơn so với trước đây, khiến người dùng phải có trách nhiệm thực hiện các biện pháp bảo vệ thích hợp hơn.
Các công ty lớn đã thực hiện các bước, cũng như các phương thức để bảo vệ mật khẩu của nhân viên một cách an toàn như: quản lý mật khẩu, loại bỏ những mật khẩu hết hạn, buộc nhân viên phải thường xuyên thay đổi mật khẩu và thậm chí xem xét thay thế hoàn toàn mật khẩu bằng các phương pháp an toàn hơn.
Tuy nhiên, theo báo cáo của Security.org, trong đó khảo sát hơn 1.000 người sử dụng mật khẩu, cho thấy rằng người dùng vẫn đang tái sử dụng cùng một mật khẩu trung bình khoảng bốn lần. Trong đó có 63% số người được hỏi cho biết họ sử dụng cùng một mật khẩu cho nhiều tài khoản khác nhau, các trang web giải trí và nhiều website quan trọng khác.
Việc sử dụng lại mật khẩu cũ có thể dễ dàng bị tấn công bởi một loại tấn công an ninh mạng được gọi là nhồi thông tin xác thực (credential stuffing), cho phép hacker có thể lấy thông tin tài khoản cũng như mật khẩu từ việc đánh cắp trước đó để có quyền truy cập vào các tài khoản khác.
Cũng theo báo cáo này, để thay đổi và nhớ mật khẩu của mình, 68% người dùng cho biết họ thường tinh chỉnh một mật khẩu đã sử dụng trước đó và chính điều này khiến họ dễ dàng bị tấn công bởi hacker. Những người khác cho biết họ cũng đã cố gắng tạo ra các mật khẩu phức tạp hơn, tuy nhiên, do thường hay quên cũng chính vì nó quá phức tạp và khó nhớ.
Bảo mật mật khẩu nên được theo dõi hằng ngày. Để bảo vệ an toàn cho dữ liệu của cá nhân cũng như trong doanh nghiệp, người dùng nên cài đặt một mật khẩu dài, phức tạp. Nên sử dụng xác thực hai yếu tố với các trang web và ứng dụng, để có thêm một lớp bảo vệ chống lại hacker hoặc sử dụng các dịch vụ quản lý mật khẩu và nên có mật khẩu riêng biệt cho từng tài khoản.
Cuối cùng, người dùng có thể đăng ký các dịch vụ có khả năng thông báo trong trường hợp email của mình xuất hiện trong danh sách dữ liệu bị tấn công để có thể đặt lại mật khẩu của mình.
Theo nhân dân
Thời đại IoT: Tủ lạnh thông minh cũng có thể bị hack Với sự phát triển của IoT (Internet Vạn Vật), hiện nay hầu như bất kỳ thiết bị nào có kết nối internet đều có thể trở thành 'mồi ngon' của hacker. Trường hợp mới đây là các tủ lạnh. Các nhà nghiên cứu bảo mật tại Safety Detective vừa tiết lộ các lỗ hổng trong hệ thống kiểm soát nhiệt độ được tìm...