Mới đây Facebook đã thưởng ‘nóng’ cho hacker Anand Prakash người Ấn Độ 15.000 USD (tương đương 315 triệu VN) vì tìm ra lỗi bảo mật có thể chiếm tài khoản của bất kỳ ai trên Facebook.
Video mô tả quá trình hack Facebook:
Người tìm ra lỗi nghiêm trọng của Facebook là Anand Prakash, một kỹ sư bảo mật kiêm thợ săn lỗi phần mềm người Ấn Độ (hay còn gọi là hacker mũ trắng); đã tìm ra một lỗi bảo mật khiến bất cứ ai cũng có thể dễ dàng chiếm đoạt mật khẩu của tài khoản Facebook khác.
Theo chia sẻ trên blog cá nhân của Anand Prakash phương pháp hack tài khoản Facebook bằng cách lợi dụng tính năng cho phép lấy lại mật khẩu đã mất trên mạng xã hội này.
Lỗi bảo mật ở đây là mã OTP gồm 6 số tại 2 web phụ Facebook không có giới hạn thời gian và số lần đăng nhập. Anand Prakash đã chạy brute force để lấy mật khẩu mới.
Cụ thể như sau:
Bước 1: Anand Prakash vào báo cáo tìm lại mật khẩu đã mất ở 1 địa chỉ hỗ trợ của Facebook sau https://www.facebook.com/login/identify?ctx=recover&lwv=110
Bước 2: Facebook sẽ gửi một đoạn mã OTP gồm 6 số để xác nhận reset mật khẩu từ Facebook qua email hoặc điện thoại. Anand Prakash đã dùng phần mềm chuyên biệt để thử lần lượt các số OTP này. Tuy nhiên Facebook sẽ ngăn sau khi thử OTP trên tài khoản sau khi nhập sai từ 10-12 lần nhập sai.
Bước 3: Tuy nhiên điểm hớ hênh của Facebook khi tại 2 web phụ beta.facebook.com và mbasic.beta.facebook.com thì số OTP này không bị giới hạn thời gian và số lần thử, và với phần mềm chuyên biệt Anand Prakash đã dễ dàng đăng nhập vào tài khoản Facebook bằng mật khẩu mới mà không cần dùng đến mật khẩu cũ.
Sau khi phát hiện lỗi bảo mật trên Facebook đã gửi thư thưởng Anand Prakash số tiền 15000 đôla.
Cộng đồng mạng Facebook được một phen hú vía, may mắn khi sự phát hiện lỗi bảo mật trên được phát hiện bởi hacker “mũ trắng”, nếu không không biết sẽ không biết có bao nhiêu tài khoản Facebook bị dễ dàng chiếm đoạt.
Kiểu tấn công “Brute force” là kiểu tấn công được dùng cho tất cả các loại mã hóa. Brute force hoạt động bằng cách thử tất cả các chuỗi mật khẩu có thể để tìm ra mật khẩu. Vì thế nên thời gian cần rất lâu, tùy theo độ dài của mật khẩu nhưng khả năng để tìm ra là luôn luôn nếu không giới hạn thời gian. Brute force chỉ được dùng khi các phương pháp khác đều không có hiệu quả.
Thiên Nhẫn tổng hợp
Xem thêm: