Lỗ hổng được tiết lộ bởi nhà nghiên cứu Samip Aryal theo chương trình Bug Bounty của Facebook năm 2024.
Theo Aryal, lỗ hổng xảy ra trong quá trình đặt lại mật khẩu Facebook, đặc biệt là tùy chọn mã xác thực duy nhất 6 chữ số được gửi đến một thiết bị khác mà người dùng đăng nhập. Mã này được cung cấp để xác minh danh tính người dùng và hoàn tất tiến trình đặt lại mật khẩu.
Phân tích truy vấn được gửi bởi trình duyệt khi tùy chọn đặt lại mật khẩu được dùng cho thấy mã duy nhất đã được kích hoạt trong khoảng 2 giờ và không có biện pháp bảo vệ trước kiểu tấn công brute-force.
Kẻ tấn công chỉ cần biết tên người dùng mục tiêu từ đó sử dụng công cụ kiểm thử thâm nhập như Burp Suite để thực hiện brute-force mã 6 chữ số, từ đó cho phép chúng đặt lại mật khẩu tài khoản mục tiêu hoặc đơn giản là truy cập vào tài khoản đó.
Khi lỗ hổng bị khai thác, người dùng mục tiêu nhận được thông báo từ Facebook. Thông báo này một là trực tiếp gửi mã xác thực gồm 6 chữ số, hoặc hai là yêu cầu người dùng nhấn vào thông báo để xem mã. Ở tùy chọn thứ 2 sẽ biến thành mã khai thác one-click (một lần nhấp) thay vì khai thác zero-click.
Lỗ hổng đã được báo cáo cho Facebook vào ngày 30/01 và được vá vào ngày 02/02.
Chương trình Bug Bounty của Facebook sẽ thưởng khoảng 5.000 USD đến 130.000 USD cho người báo cáo lỗ khổng chiếm quyền tài khoản này tùy theo mức độ.
Thanh Bình
(Nguồn securityweek)
13:00 | 01/08/2024
07:00 | 15/01/2024
10:00 | 28/03/2024
15:00 | 03/09/2023
10:00 | 22/03/2024
10:00 | 25/10/2024
10:00 | 13/12/2023
09:00 | 28/02/2024
07:00 | 17/10/2024
13:00 | 26/12/2024
Garante - Cơ quan bảo vệ dữ liệu của Italy đã phạt nhà sản xuất ChatGPT, OpenAI số tiền 15 triệu euro (15,66 triệu đô la) vì cách ứng dụng dữ liệu cá nhân trong đào tạo trí tuệ nhân tạo.
13:00 | 14/11/2024
Công ty chuyên về bảo mật dữ liệu Fortanix (Hoa Kỳ) và Sectigo (Hoa Kỳ) nhà cung cấp giải pháp an ninh mạng toàn cầu mới đây vừa công bố hợp tác chiến lược nhằm nâng cao bảo mật chuỗi cung ứng phần mềm thông qua việc cấp chứng chỉ ký mã tự động.
07:00 | 01/11/2024
Ngày 31/10, tại Hà Nội, Viện Công nghệ Blockchain và Trí tuệ Nhân tạo ABAII (thành viên của Hiệp hội Blockchain Việt Nam) đã tổ chức Hội thảo “Blockchain và AI: Làm chủ công nghệ, làm chủ tương lai” trong khuôn khổ Triển lãm Quốc tế Điện tử và Thiết bị thông minh IEAE 2024, thu hút hơn 500 doanh nghiệp từ 50 quốc gia, hơn 20 trường đại học và gần 10.000 lượt khách tham dự.
13:00 | 31/10/2024
Hàng trăm triệu điện thoại thông minh trên toàn cầu sử dụng chip của Qualcomm có nguy cơ bị tin tặc tấn công và xâm nhập thiết bị từ xa qua một lỗ hổng Zero day.
Vào tháng 11/2024, Mi2 chính thức trở thành nhà phân phối độc quyền các sản phẩm của Blancco tại Việt Nam. Là công ty dẫn đầu toàn cầu về giải pháp xóa dữ liệu an toàn, Blancco mang đến cho các tổ chức/doanh nghiệp giải pháp bảo mật vượt trội, đáp ứng mọi tiêu chuẩn quốc tế về tẩy xoá dữ liệu.
13:00 | 13/01/2025