Gửi lúc: 21/10/2019 17:21:26
Bookmark and Share

Tạm thời vô hiệu hóa tính năng Tweet qua SMS sau khi tài khoản của CEO Twitter bị xâm phạm

Ngày 5/9/2019, Twitter đã quyết định tạm thời vô hiệu hóa một tính năng, được gọi là "Tweet qua SMS ", sau khi nó bị lạm dụng bởi một nhóm hack để thỏa hiệp với CEO Jack Dorsey của Twitter vào tuần trước và gửi một loạt các tweet phân biệt chủng tộc và xúc phạm đến những người theo dõi Dorsey.

Tài khoản Twitter của Dorsey đã bị xâm phạm vào tuần trước khi một nhóm tin tặc tự gọi mình là "Biệt đội Chuckling" sao chép số điện thoại di động liên kết với tài khoản CEO và lạm dụng tính năng đặc biệt này để đăng tin phân biệt chủng tộc, tin nhắn xúc phạm và đe dọa đánh bom từ SMS.
Sao chép số điện thoại di động được liên kết với người khác là một kỹ thuật được gọi là "Hoán đổi SIM", trong đó kẻ tấn công lừa nhà cung cấp dịch vụ di động của nạn nhân chuyển số điện thoại của mục tiêu sang thẻ SIM của chúng. Sau khi lừa một nhân viên AT&T để có quyền sử dụng số điện thoại của Dorsey, nhóm tin tặc Chuckling Squad đã sử dụng tính năng “Tweeting qua SMS” để đăng tweet dưới tên người dùng của anh mà thậm chí không cần đăng nhập vào tài khoản Twitter.

Twitter có một tính năng cho phép người dùng đăng một tweet từ tài khoản của họ chỉ bằng cách gửi tin nhắn SMS từ số điện thoại di động đã được liên kết với tài khoản Twitter của họ đến số công ty. Tính năng này từng là cách phổ biến nhất để sử dụng Twitter trong những ngày đầu khi hầu hết mọi người đều dựa vào điện thoại không có kết nối internet, đặc biệt là khi ở một số quốc gia, chính phủ áp dụng việc tắt Internet để dập tắt các cuộc biểu tình và các cuộc cách mạng. Đến nay tính năng này vẫn tồn tại và từng bị sử dụng nhiều lần trong quá khứ do không yêu cầu xác thực tài khoản ngoài việc có quyền truy cập vào số điện thoại đã được liên kết. Trong một loạt các tweet được xuất bản mới đây, Twitter cho biết họ đã tạm thời vô hiệu hóa tính năng này và đang tìm cách cải thiện nó bằng cách xem xét các lựa chọn xác thực.

"Chúng tôi đang thực hiện bước này vì các lỗ hổng cần được các nhà mạng giải quyết và sự phụ thuộc của chúng tôi vào số điện thoại liên kết cho xác thực hai yếu tố (chúng tôi đang nỗ lực cải thiện điều này)", công ty cho biết.

"Chúng tôi sẽ sớm kích hoạt lại điều này ở các thị trường phụ thuộc vào SMS cho việc tiếp cận dịch vụ trong khi chúng tôi thực hiện chiến lược dài hạn hơn cho tính năng này". Tuy nhiên, công ty không cung cấp bất kỳ mốc thời gian nào về việc kích hoạt lại tính năng này.
Dorsey không phải là người duy nhất trở thành nạn nhân của các cuộc tấn công hoán đổi SIM trong thời gian gần đây. Những nạn nhân khác có tài khoản từng bị Chuckling Squad xâm nhập bao gồm nữ diễn viên Chloë Grace Moretz và một số người có ảnh hưởng trên phương tiện truyền thông xã hội với lượng người theo dõi lớn.

Nguyễn Anh Tuấn (Theo The Hacker News)