Dropbox, Google Driver có thể bị tấn công không cần mật khẩu

09:38 | 03/09/2015 | LỖ HỔNG ATTT

Lỗ hổng bảo mật cho phép tin tặc truy cập vào nhiều dịch vụ điện toán đám mây mà không cần đánh cắp mật khẩu của người dùng.

Trong Hội thảo Black Hat tổ chức tại Las Vegas (Mỹ), hãng bảo mật Imperva đã trình bày về phương thức tấn công "man-in-the-cloud", có thể lấy các tập tin lưu trữ trên điện toán đám mây hoặc lây nhiễm các phần mềm độc hại mà người dùng không hề biết.

Dropbox, Google Driver có thể bị tấn công không cần mật khẩu

Khác với kiểu tấn công truyền thống là "man-in-the-middle", phương thức tấn công "man-in-the-cloud" khai thác lỗ hổng trong quá trình đồng bộ tập tin, có trong thiết kế của nhiều dịch vụ của các hãng Google, Box, Microsoft hay Dropbox. Đây không chỉ là vấn đề với người dùng mà còn tác động đến nhiều doanh nghiệp, khi mà dịch vụ điện toán đám mây được tăng cường áp dụng để chia sẻ các dữ liệu quan trọng.

Các cuộc tấn công MITC không dựa vào lỗ hổng trên các ứng dụng đồng bộ hay lỗ hổng an toàn trong máy chủ lưu trữ đám mây, mà dựa vào một lỗi thiết kế.

Theo thiết kế, các dịch vụ lưu trữ sẽ không yêu cầu mật khẩu mỗi lần khi có tệp tin được đồng bộ, thay vào đó, một token được sử dụng để cấp quyền cho các hoạt động này để không gián đoạn người dùng.

Khi lấy cắp mật khẩu token, tin tặc có thể bổ sung những mật khẩu token đó vào PC hoặc các script tự động của mình, sau đó truy cập và lợi dụng các tài khoản đã bị đánh cắp bằng rất nhiều cách khác nhau. Từ đó, tin tặc hoàn toàn có thể giả mạo người dùng hợp pháp để quản lý các tệp tin, thậm chí tải lên những phần mềm độc hại.

Nguy hiểm hơn, người dùng gần như không kiểm soát được và không có cách ngăn chặn cuộc tấn công này. Bởi token được gắn với thiết bị của người dùng nên việc đổi mật khẩu là vô nghĩa. Hiện tại, chưa có hãng nào phản hồi trước thông tin trên.

‹ › ×

Tin liên quan

Hãng game của Nhật Bản cảnh báo rủi ro bảo mật đám mây do cấu hình sai Google Drive

14:00 | 16/01/2024

Công ty phát triển trò chơi Android - Ateam (Nhật Bản) chứng minh rằng một lỗi cấu hình Google Drive đơn giản có thể dẫn đến nguy cơ lộ thông tin nhạy cảm trong khoảng thời gian hơn 6 năm vừa qua.

Dịch vụ chữ ký điện tử trên DropBox bị tin tặc xâm nhập đánh cắp dữ liệu

08:00 | 04/05/2024

Công ty lưu trữ đám mây DropBox cho biết tin tặc đã xâm nhập vào hệ thống nền tảng Chữ ký điện tử DropBox Sign và giành được quyền truy cập vào mã thông báo xác thực (Authentication tokens), khóa MFA, mật khẩu băm và thông tin khách hàng.

Tin cùng chuyên mục

Nhóm tin tặc Việt Nam bị nghi đánh cắp dữ liệu tài chính ở châu Á

10:00 | 24/04/2024

Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.

AT&T xác nhận dữ liệu của 73 triệu khách hàng bị rò rỉ

13:00 | 05/04/2024

Trong một động thái mới nhất, AT&T cuối cùng đã xác nhận rằng họ bị ảnh hưởng bởi một vụ vi phạm dữ liệu ảnh hưởng đến 73 triệu khách hàng.

Khám phá phiên bản cập nhật của phần mềm đánh cắp thông tin Atomic Stealer nhắm mục tiêu vào macOS

08:00 | 19/01/2024

Các nhà nghiên cứu an ninh mạng của hãng bảo mật Malwarebytes (Mỹ) đã xác định được phiên bản cập nhật của phần mềm đánh cắp thông tin trên macOS có tên là Atomic Stealer (hoặc AMOS), cho thấy các tác nhân đe dọa phát triển phần mềm độc hại này đang tích cực nâng cao khả năng của nó. Trong bài viết này sẽ xem xét những thay đổi mới nhất của Atomic Stealer và việc phân phối gần đây các quảng cáo độc hại thông qua công cụ tìm kiếm Google.

Phát hiện kỹ thuật khai thác mới cho phép kẻ tấn công vượt qua các biện pháp bảo mật

07:00 | 18/01/2024

Một kỹ thuật khai thác mới có tên là SMTP Smuggling có thể được tin tặc sử dụng để gửi email giả mạo có địa chỉ người gửi giả và vượt qua các biện pháp bảo mật.