Lỗ hổng được tiết lộ bởi nhà nghiên cứu Samip Aryal theo chương trình Bug Bounty của Facebook năm 2024.
Theo Aryal, lỗ hổng xảy ra trong quá trình đặt lại mật khẩu Facebook, đặc biệt là tùy chọn mã xác thực duy nhất 6 chữ số được gửi đến một thiết bị khác mà người dùng đăng nhập. Mã này được cung cấp để xác minh danh tính người dùng và hoàn tất tiến trình đặt lại mật khẩu.
Phân tích truy vấn được gửi bởi trình duyệt khi tùy chọn đặt lại mật khẩu được dùng cho thấy mã duy nhất đã được kích hoạt trong khoảng 2 giờ và không có biện pháp bảo vệ trước kiểu tấn công brute-force.
Kẻ tấn công chỉ cần biết tên người dùng mục tiêu từ đó sử dụng công cụ kiểm thử thâm nhập như Burp Suite để thực hiện brute-force mã 6 chữ số, từ đó cho phép chúng đặt lại mật khẩu tài khoản mục tiêu hoặc đơn giản là truy cập vào tài khoản đó.
Khi lỗ hổng bị khai thác, người dùng mục tiêu nhận được thông báo từ Facebook. Thông báo này một là trực tiếp gửi mã xác thực gồm 6 chữ số, hoặc hai là yêu cầu người dùng nhấn vào thông báo để xem mã. Ở tùy chọn thứ 2 sẽ biến thành mã khai thác one-click (một lần nhấp) thay vì khai thác zero-click.
Lỗ hổng đã được báo cáo cho Facebook vào ngày 30/01 và được vá vào ngày 02/02.
Chương trình Bug Bounty của Facebook sẽ thưởng khoảng 5.000 USD đến 130.000 USD cho người báo cáo lỗ khổng chiếm quyền tài khoản này tùy theo mức độ.
Thanh Bình
(Nguồn securityweek)
07:00 | 15/01/2024
10:00 | 22/03/2024
10:00 | 28/03/2024
15:00 | 03/09/2023
10:00 | 13/12/2023
09:00 | 28/02/2024
07:00 | 08/04/2024
Red Hat cảnh báo người dùng ngừng ngay lập tức việc sử dụng các hệ thống chạy phiên bản thử nghiệm và phát triển Fedora, vì một backdoor được tìm thấy trong các công cụ và thư viện nén dữ liệu mới nhất của XZ Utils (trước đó là LZMA Ultis).
14:00 | 26/03/2024
Công ty sản xuất phần mềm Atlassian (Úc) phát hành các bản vá bảo mật để giải quyết hơn 20 lỗ hổng, bao gồm một lỗ hổng nghiêm trọng ảnh hưởng đến Data Center và máy chủ Bamboo, có thể bị khai thác mà không cần sự tương tác của người dùng.
10:00 | 22/03/2024
Không lâu sau sự cố sập toàn cầu, tối 20/3, nhiều người dùng Facebook báo cáo rằng họ đã gặp sự cố khi sử dụng nền tảng mạng xã hội này. Cụ thể, mục Story hoàn toàn bị lỗi và chỉ hiển thị khung màu xám và không hiện bất cứ hình ảnh hay video nào.
08:00 | 22/12/2023
Với mong muốn định hướng cho các tổ chức/doanh nghiệp bảo vệ dữ liệu một cách toàn diện cũng như vận hành bảo mật hiệu quả, tối ưu nhất trong kỷ nguyên số, Mi2 ra mắt Bộ Giải pháp Bảo vệ dữ liệu toàn diện “Complete Data Protection Solution” nhằm đảm bảo khả năng bảo vệ toàn diện cũng như vận hành bảo mật hiệu quả, tối ưu cho tổ chức/doanh nghiệp.
Oracle dự kiến sẽ đầu tư 1.200 tỷ Yen (khoảng 8 tỷ USD) trong 10 năm, bắt đầu từ năm nay, để mở rộng các trung tâm dữ liệu của mình tại Nhật Bản. Thông báo này được hãng đưa ra vào ngày 18/4 vừa qua, cơ sở chủ yếu ở hai khu vực mà Oracle hiện đang vận hành các trung tâm dữ liệu là Tokyo và Osaka.
10:00 | 26/04/2024