Lỗ hổng được tiết lộ bởi nhà nghiên cứu Samip Aryal theo chương trình Bug Bounty của Facebook năm 2024.
Theo Aryal, lỗ hổng xảy ra trong quá trình đặt lại mật khẩu Facebook, đặc biệt là tùy chọn mã xác thực duy nhất 6 chữ số được gửi đến một thiết bị khác mà người dùng đăng nhập. Mã này được cung cấp để xác minh danh tính người dùng và hoàn tất tiến trình đặt lại mật khẩu.
Phân tích truy vấn được gửi bởi trình duyệt khi tùy chọn đặt lại mật khẩu được dùng cho thấy mã duy nhất đã được kích hoạt trong khoảng 2 giờ và không có biện pháp bảo vệ trước kiểu tấn công brute-force.
Kẻ tấn công chỉ cần biết tên người dùng mục tiêu từ đó sử dụng công cụ kiểm thử thâm nhập như Burp Suite để thực hiện brute-force mã 6 chữ số, từ đó cho phép chúng đặt lại mật khẩu tài khoản mục tiêu hoặc đơn giản là truy cập vào tài khoản đó.
Khi lỗ hổng bị khai thác, người dùng mục tiêu nhận được thông báo từ Facebook. Thông báo này một là trực tiếp gửi mã xác thực gồm 6 chữ số, hoặc hai là yêu cầu người dùng nhấn vào thông báo để xem mã. Ở tùy chọn thứ 2 sẽ biến thành mã khai thác one-click (một lần nhấp) thay vì khai thác zero-click.
Lỗ hổng đã được báo cáo cho Facebook vào ngày 30/01 và được vá vào ngày 02/02.
Chương trình Bug Bounty của Facebook sẽ thưởng khoảng 5.000 USD đến 130.000 USD cho người báo cáo lỗ khổng chiếm quyền tài khoản này tùy theo mức độ.
Thanh Bình
(Nguồn securityweek)
13:00 | 01/08/2024
07:00 | 15/01/2024
10:00 | 28/03/2024
15:00 | 03/09/2023
10:00 | 22/03/2024
10:00 | 25/10/2024
10:00 | 13/12/2023
09:00 | 28/02/2024
07:00 | 17/10/2024
09:00 | 18/11/2024
Microsoft dường như đang có kế hoạch thay thế trợ lý AI Copilot bằng một cái tên mới Windows Intelligence. Thông tin này được phát hiện trong bản dựng Windows 11 mới nhất, báo hiệu một sự thay đổi lớn trong chiến lược AI của "gã khổng lồ" phần mềm.
08:00 | 05/11/2024
Tối ngày 28/10, bộ tính năng đầu tiên của Apple Intelligence vừa được triển khai cùng bản cập nhật iOS 18.1, iPadOS 18.1 và macOS Sequoia 15. Apple Intelligence cung cấp một số tính năng AI tạo sinh về ảnh, văn bản, được áp dụng trước cho ngôn ngữ Anh Mỹ. Tuy nhiên người dùng Việt Nam và nhiều khu vực khác trên thế giới vẫn có thể trải nghiệm khi chuyển điện thoại về ngôn ngữ này.
15:00 | 01/11/2024
Apple đã tạo ra môi trường nghiên cứu ảo (VRE) để cho phép mọi người truy cập vào với mục đích thử nghiệm tính bảo mật của hệ thống Private Cloud Compute (PCC) và phát hành mã nguồn cho một số “thành phần chính” để giúp các nhà nghiên cứu phân tích các tính năng riêng tư và an toàn trên kiến trúc.
07:00 | 17/10/2024
American Water, công ty cung cấp nước lớn nhất nước Mỹ cho biết đã bị tấn công mạng và phải đóng cửa một số hệ thống.
Bắt đầu từ năm 2025, Samsung CryptoCore - môđun mã hóa của Samsung Electronics sẽ được tích hợp hoàn toàn vào hệ điều hành Smart TV Tizen OS của Samsung, nhằm tăng cường bảo mật cho các sản phẩm chính như TV, màn hình và bảng hiệu kỹ thuật số.
10:00 | 12/12/2024