1 triệu người dùng Scribd bị hack mật khẩu

Trang web chia sẻ tài liệu lớn nhất thế giới Scribd cho biết, họ đã bị tấn công vào đầu tuần này và tin rằng mật khẩu của một triệu người dùng đã bị xâm nhập. Thông tin này được lưu trữ bởi một thuật toán băm (hashing) lỗi thời.

Scribd - Trang web chia sẻ tài liệu lớn nhất thế giới

Scribd thông báo trên trang hỗ trợ rằng, vào đầu tuần này, nhóm điều khiển Scribd đã phát hiện và ngăn chặn hoạt động đáng ngờ trên mạng của họ. Có ai đó đang tìm cách truy cập vào địa chỉ email và mật khẩu thành viên trang Scribd. Ngoài ra, họ cũng cho biết thêm: “Do nhiều mật khẩu được lưu lại trên mạng Scribd nên chúng tôi tin rằng, mật khẩu của một phần trăm người sử dụng có khả năng đã bị xâm nhập.”

Trang Scribd có khoảng 100 triệu thành viên. Và theo nhà đồng sáng lập Scribd Jared Friedman, công ty này đã thông báo với khoảng một triệu người sử dụng qua email để yêu cầu họ thay đổi mật khẩu. Sau khi phát hiện sự xâm nhập, Scribd cũng đã thiết lập lại mật khẩu cho những ai bị ảnh hưởng.

1 triệu người dùng Scribd bị hack mật khẩu trong 100 triệu thành viên của trang

Dmyrto Shteflyuk, kỹ sư phần mềm Scribd, cho biết các mật khẩu bị xâm nhập được lưu trữ bằng cách sử dụng thuật toán lỗi thời SHA-1.

Theo ghi nhận của sáng lập viên an ninh Eratta và giám đốc điều hành Bob Graham, hàm toán băm (hashing) kết hợp với chuỗi salt có thể làm chậm tiến trình xâm nhập mật khẩu nhưng lại kém hữu ích khi ngăn cản nỗ lực phá mật khẩu riêng lẻ. Do đó, trong trường hợp cơ sở dữ liệu người dùng bị rò rỉ và bị xâm nhập thì kẻ xấu sẽ sử dụng thuật toán này để bẻ mật khẩu. Các hàm toán chậm như scrypt, bcrypt, hoặc PBKDF sẽ phù hợp để bảo vệ mật khẩu hơn là MD4, MD5, SHA1, SHA2 và SHA3.

Cố vấn an ninh Na Uy, Per Thorsheim đã rất ấn tượng khi Scribd tiết lộ hàm toán băm đã sử dụng. Thorsheim cũng nói thêm: “Mật khẩu bảo vệ của Scribd cũng có thể bị bẻ khóa nhưng sẽ mất nhiều thời gian hơn.” Vấn đề thứ hai trong chính sách bảo vệ mật khẩu của Scribd là việc yêu cầu mật khẩu có sáu ký tự.

Ông Thorsheim nhắc đến việc rò rỉ mật khẩu của LinkedIn vào tháng sáu năm ngoái rằng, nhiều người đã chọn các mật khẩu dễ nhớ, như tên dịch vụ, tên người dùng và một dãy số nào đó. Vì thế, Scribd chẳng thể nào bảo vệ được những mật khẩu quá đơn giản.

Theo quan điểm của ông, kẻ xấu sẽ dễ dàng xâm nhập vào những mật khẩu quá phổ biến và đơn giản, trong khi đó, sẽ phải mất nhiều thời gian hơn để xâm nhập vào những mật khẩu có tính bảo mật cao.

Hoàng Vi dịch (nguồn Zdnet)