Gần đây, Uber đang gặp nhiều vấn đề về bảo mật và an toàn thông tin. Chỉ hai tháng sau khi Uber thừa nhận đã che giấu sự cố rò rỉ thông tin nhạy cảm của 57 triệu khách hàng và tài xế, một lỗ hổng cho phép tin tặc vượt qua xác thực hai yếu tố (2FA) lại mới được phát hiện.
Nhà nghiên cứu Karan Saini giải thích rằng, khi đăng nhập có 2FA với địa chỉ thư điện tử và mật khẩu, bất kỳ ai cũng có thể vượt qua 2FA bằng cách chuyển sang tên miền phụ “help” của Uber tại cùng phiên trình duyệt, khi nhập lại địa chỉ thư điện tử và mật khẩu thì sẽ đăng nhập được mà không phải nhập mã 2FA.
Ông Rob Fletcher, Quản lý An ninh Uber đã trả lời với nhà nghiên cứu rằng, lỗ hổng này “đã được lường trước”.
Theo hãng tin tức ZDNet, nhà nghiên cứu cũng báo cáo lỗ hổng cho tổ chức HackerOne (Hoa Kỳ) để tham gia chương trình bug bounty (nhận tiền thưởng khi phát hiện lỗ hổng bảo mật), nhưng đã bị từ chối và chỉ được đánh giá đây là một thông tin bổ ích.
John Gunn, Giám đốc tiếp thị của hãng bảo mật thông tin VASCO Data Security cho biết, việc dễ dàng vượt qua xác thực hai yếu tố không thể là sự cố “đã được lường trước”, đây là lỗ hổng thực sự nghiêm trọng. Theo ông, nếu Uber không đánh giá việc bảo vệ an ninh cơ bản là nghiêm trọng, thì không biết điều gì mới được xem xét là nghiêm trọng. 2FA là phương thức bảo mật an toàn nếu được triển khai đúng và đây là điều có thể dễ dàng thực hiện.
Trong khi đó, theo Craig Young, nhà nghiên cứu an ninh máy tính của công ty phần mềm bảo mật Tripwire (Hoa Kỳ), 2FA là một phương thức kiểm soát an ninh quan trọng. Ông giải thích rằng, phản hồi của Uber có nghĩa là họ đang nghiên cứu để quyết định thời điểm xác minh mã SMS, và người dùng sẽ có thể không cần nhận mã 2FA mỗi lần đăng nhập. Nếu không biết chi tiết cụ thể của kỹ thuật này, thì không thể đánh giá rằng đây có phải là một lỗ hổng chính đáng hay không. Ông cho rằng những chi tiết từ báo cáo là công khai và phản ứng của Uber ít nhiều thích hợp với phạm vi chương trình tiền thưởng của họ.
Thảo Uyên
Theo SC và ZDNet
16:00 | 22/05/2021
08:00 | 22/09/2022
09:00 | 21/08/2018
09:00 | 09/04/2024
Các nhà nghiên cứu bảo mật của IBM đã chứng minh rằng tin tặc có thể sử dụng trí tuệ nhân tạo (AI) tạo sinh và công nghệ deepfake âm thanh để chiếm quyền điều khiển và thao túng các cuộc hội thoại trực tiếp.
07:00 | 08/04/2024
Tháng 01/2024, nhóm nghiên cứu Zero Day Initiative (ZDI) của hãng bảo mật Trend Micro phát hiện chiến dịch phân phối phần mềm độc hại DarkGate. Các tác nhân đe dọa đã khai thác lỗ hổng CVE-2024-21412 trong Windows Defender SmartScreen để vượt qua kiểm tra bảo mật (bypass) và tự động cài đặt phần mềm giả mạo.
13:00 | 28/03/2024
Một chiến dịch tấn công tinh vi được cho là do nhóm tin tặc APT của Trung Quốc có tên Earth Krahang thực hiện, chúng đã xâm nhập 70 tổ chức tại 23 quốc gia và nhắm mục tiêu vào ít nhất 116 tổ chức của 45 quốc gia khác trên thế giới.
09:00 | 10/01/2024
Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
08:00 | 17/04/2024