Theo Facebook, chiều ngày 25/9, nhóm kỹ thuật của mạng xã hội này đã phát hiện một vấn đề bảo mật ảnh hưởng đến gần 50 triệu tài khoản. Tin tặc đã khai thác lỗ hổng kỹ thuật để đánh cắp mã thông báo của Facebook tại tính năng “View As” (Xem trang với tư cách khác), một tính năng giúp người dùng xem trang cá nhân của họ hiển thị như thế nào đối với bạn bè. Lỗ hổng này cho phép tin tặc chiếm đoạt chuỗi mã truy cập Facebook, từ đó có thể chiếm đoạt tài khoản của người dùng. Mã truy cập giống như một chìa khóa kỹ thuật số giúp người dùng đăng nhập vào Facebook mà không cần phải nhập lại mật khẩu mỗi khi sử dụng ứng dụng.
Tin tặc đã lợi dụng lỗ hổng tại tính năng “View As” để tấn công
Theo Facebook, lỗ hổng này là kết quả hợp thành của 03 lỗi riêng biệt:
Thứ nhất: View As là một tính năng riêng tư giúp người dùng xem trang cá nhân của họ hiển thị như thế nào đối với bạn bè. View As nên tồn tại ở giao diện view-only. Tuy nhiên, đối với một dạng đăng nội dung (hộp thoại nơi người dùng đăng nội dung lên Facebook), cụ thể hơn là phiên bản giúp người dùng gửi lời chúc mừng sinh nhật tới bạn bè, View As đã cho phép đăng video không chính xác.
Thứ hai: Một phiên bản mới của trình tải lên video (giao diện có thể coi là kết quả hiển thị của lỗi đầu tiên), ra mắt tháng 7/2017, đã tạo ra một mã truy cập không chính xác có quyền đăng nhập vào ứng dụng Facebook trên điện thoại.
Thứ ba: Khi trình tải lên video xuất hiện như là một phần của View As, nó tạo ra một mã truy cập nhưng không phải dành cho người dùng chính với tư cách là người xem video mà dành cho những người dùng khác mà người dùng chính đã tìm kiếm.
Sự kết hợp của 03 lỗi trên đã trở thành một lỗ hổng bảo mật: Khi sử dụng tính năng View As để xem trang cá nhân, mã đăng nhập không xóa đi phần đăng nội dung giúp người dùng chúc mừng sinh nhật; trình tải lên video sẽ tạo ra một mã truy cập không cần thiết, và khi mã đó được tạo nên, nó không dành cho người dùng, mà cho những người được tìm kiếm. Mã truy cập sau đó sẽ hiển thị trong giao diện HTML của trang, từ đó những kẻ tấn công có thể trích xuất và khai thác để đăng nhập vào với tư cách một người dùng khác. Những kẻ tấn công sau đó có thể chuyển hướng từ mã truy cập đó sang những tài khoản khác, thực hiện những hành động tương tự và chiếm đoạt nhiều mã truy cập hơn.
Facebook đã làm gì?
Để bảo vệ tài khoản của người dùng, Facebook đã khắc phục lỗ hổng bảo mật. Facebook cũng đã cài đặt lại mã truy cập của gần 50 triệu tài khoản bị ảnh hưởng và thực hiện bước dự phòng bằng các cài đặt mã truy cập cho 40 triệu tài khoản khác đã từng sử dụng tính năng View As trong thời gian qua. Cuối cùng, Facebook tạm thời tắt tính năng View As trong khi tiến hành kiểm tra bảo mật kỹ lưỡng.
Thông báo cập nhật trên Facebook lúc 3h08 phút ngày 29/9 (giờ Việt Nam) giải thích sự cố xảy ra với người dùng
Vì vậy, có khoảng 90 triệu người sẽ cần phải đăng nhập lại Facebook hoặc bất kỳ ứng dụng nào sử dụng Đăng nhập Facebook. Sau khi đã đăng nhập lại, người dùng sẽ nhận được thông báo ở đầu Bảng tin giải thích sự cố đã xảy ra.
Người dùng cần làm gì?
Theo Facebook, quyền riêng tư và bảo mật của người dùng vô cùng quan trọng, và mạng xã hội này đã đưa ra lời xin lỗi vì đã để xảy ra sự cố vừa qua. Đó là lý do Facebook đã thực hiện hành động ngay lập tức bằng việc thoát 90 triệu tài khoản của người dùng. Điều này nhằm bảo vệ những tài khoản bị ảnh hưởng và cho người dùng biết những gì đang xảy ra.
Theo Facebook, cuộc điều tra để xác định danh tính kẻ tấn công đang được diễn ra
Theo Facebook, người dùng không cần thay đổi mật khẩu của mình. Nhưng với những ai gặp khó khăn khi đăng nhập lại Facebook, ví dụ như quên mật khẩu đăng nhập, thì nên truy cập Trung tâm Trợ giúp.
Nếu như người dùng muốn thực hiện những bước đề phòng đăng xuất khỏi Facebook, hãy truy cập phần “Bảo mật và Đăng nhập” trong mục Cài đặt. Tại đây, Facebook liệt kê những thiết bị mà người dùng đăng nhập Facebook và cung cấp tùy chọn đăng xuất khỏi tất cả bằng một cú nhấp chuột.
Cuối cùng, để an toàn nhất, người dùng có thể thay đổi mật khẩu của mình. Khi đã khôi phục tài khoản, người dùng cần thắt chặt bảo mật tài khoản bằng cách thay đổi mật khẩu hoặc bật Sử dụng xác thực hai yếu tố (2FA) trong phần “Bảo mật và Đăng nhập”, trong mục Cài đặt.
ĐT
Theo VTVnews
09:00 | 27/07/2018
09:00 | 31/05/2018
11:00 | 27/11/2018
22:00 | 18/12/2018
08:00 | 25/12/2018
13:00 | 09/05/2018
21:00 | 03/05/2024
Đội thi 0range đến từ Học viện Kỹ thuật mật mã vừa giành vị trí dẫn đầu bảng tại cuộc thi an toàn thông tin quốc tế HackTheon Sejong, diễn ra ngày 27/4 theo hình thức trực tuyến. Điều này lần nữa khẳng định bước phát triển trong công tác đào tạo nguồn nhân lực an toàn thông tin tại Học viện Kỹ thuật mật mã nói riêng và tại Việt Nam nói chung.
14:00 | 11/04/2024
Ngày 4/4, WhatsApp đã hoạt động trở lại bình thường, sau 1 ngày ngừng hoạt động, làm gián đoạn dịch vụ của hàng nghìn người dùng trên toàn cầu. Tuy nhiên, đây không phải sản phẩm đầu tiên của Meta gặp lỗi ngưng trệ hoạt động liên tiếp trong thời gian gần đây.
14:00 | 09/03/2024
Sáng ngày 09/3, Hiệp hội An toàn thông tin Việt Nam (VNISA) đã tổ chức gặp mặt các hội viên đầu năm. Tới tham dự và phát biểu chỉ đạo có ông Nguyễn Huy Dũng, Thứ trưởng Bộ Thông tin và Truyền thông (TT&TT).
14:00 | 01/03/2024
Trong thời đại kỹ thuật số, dữ liệu cá nhân và bí mật công ty luôn là mục tiêu tấn công của tội phạm mạng. Tuy nhiên, khi hệ thống phòng thủ ngày càng tinh vi thì chiến thuật của tin tặc cũng vậy. Năm 2023 cho thấy sự giằng co không ngừng nghỉ, ghi nhận một số vụ xâm phạm dữ liệu gây hậu quả nặng nề. Dưới đây là 10 vụ xâm phạm dữ liệu hàng đầu trong năm 2023 ảnh hưởng đến hơn 100 triệu cá nhân theo ghi nhận của tổ chức phi lợi nhuận Trung tâm Tài nguyên trộm cắp danh tính Mỹ (ITRC).
Chiều ngày 15/5, tại Hà Nội, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn cùng đại diện lãnh đạo một số cơ quan, đơn vị thuộc Ban đã đến thăm và làm việc với Tòa án nhân dân tối cao nhằm phối hợp triển khai các nhiệm vụ về bảo mật và an toàn thông tin trong tình hình mới.
10:00 | 16/05/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Chiều ngày 16/5, tại Hà Nội, Tạp chí An toàn thông tin, Ban Cơ yếu Chính phủ đã có buổi làm việc với Viện Công nghệ Blockchain và Trí tuệ nhân tạo (Hiệp hội Blockchain Việt Nam) để cùng bàn về chương trình hoạt động hợp tác cụ thể trong thời gian tới.
09:00 | 17/05/2024