Gần đây, Uber đang gặp nhiều vấn đề về bảo mật và an toàn thông tin. Chỉ hai tháng sau khi Uber thừa nhận đã che giấu sự cố rò rỉ thông tin nhạy cảm của 57 triệu khách hàng và tài xế, một lỗ hổng cho phép tin tặc vượt qua xác thực hai yếu tố (2FA) lại mới được phát hiện.
Nhà nghiên cứu Karan Saini giải thích rằng, khi đăng nhập có 2FA với địa chỉ thư điện tử và mật khẩu, bất kỳ ai cũng có thể vượt qua 2FA bằng cách chuyển sang tên miền phụ “help” của Uber tại cùng phiên trình duyệt, khi nhập lại địa chỉ thư điện tử và mật khẩu thì sẽ đăng nhập được mà không phải nhập mã 2FA.
Ông Rob Fletcher, Quản lý An ninh Uber đã trả lời với nhà nghiên cứu rằng, lỗ hổng này “đã được lường trước”.
Theo hãng tin tức ZDNet, nhà nghiên cứu cũng báo cáo lỗ hổng cho tổ chức HackerOne (Hoa Kỳ) để tham gia chương trình bug bounty (nhận tiền thưởng khi phát hiện lỗ hổng bảo mật), nhưng đã bị từ chối và chỉ được đánh giá đây là một thông tin bổ ích.
John Gunn, Giám đốc tiếp thị của hãng bảo mật thông tin VASCO Data Security cho biết, việc dễ dàng vượt qua xác thực hai yếu tố không thể là sự cố “đã được lường trước”, đây là lỗ hổng thực sự nghiêm trọng. Theo ông, nếu Uber không đánh giá việc bảo vệ an ninh cơ bản là nghiêm trọng, thì không biết điều gì mới được xem xét là nghiêm trọng. 2FA là phương thức bảo mật an toàn nếu được triển khai đúng và đây là điều có thể dễ dàng thực hiện.
Trong khi đó, theo Craig Young, nhà nghiên cứu an ninh máy tính của công ty phần mềm bảo mật Tripwire (Hoa Kỳ), 2FA là một phương thức kiểm soát an ninh quan trọng. Ông giải thích rằng, phản hồi của Uber có nghĩa là họ đang nghiên cứu để quyết định thời điểm xác minh mã SMS, và người dùng sẽ có thể không cần nhận mã 2FA mỗi lần đăng nhập. Nếu không biết chi tiết cụ thể của kỹ thuật này, thì không thể đánh giá rằng đây có phải là một lỗ hổng chính đáng hay không. Ông cho rằng những chi tiết từ báo cáo là công khai và phản ứng của Uber ít nhiều thích hợp với phạm vi chương trình tiền thưởng của họ.
Thảo Uyên
Theo SC và ZDNet
16:00 | 22/05/2021
08:00 | 22/09/2022
09:00 | 21/08/2018
10:00 | 10/04/2024
Một nhà cung cấp dịch vụ trung tâm dữ liệu bị tấn công với hình thức và thủ đoạn tương tự như vụ tấn công mã độc tống tiền vào VnDirect, chỉ khác về loại mã độc cụ thể mà tin tặc dùng để mã hóa dữ liệu.
15:00 | 25/03/2024
Ngày 15/3/2024, Quỹ Tiền tệ Quốc tế (IMF) cho biết họ đã bị tấn công mạng sau khi những kẻ tấn công xâm phạm 11 tài khoản email của tổ chức này vào đầu năm nay.
15:00 | 26/01/2024
Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.
09:00 | 10/01/2024
Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
08:00 | 17/04/2024