Lỗi bảo mật trên Google cho phép dò ra số điện thoại khôi phục chỉ trong vài phút
Một lỗ hổng trong tính năng khôi phục tài khoản khiến hacker có thể xác định số điện thoại liên kết với tài khoản Google và thực hiện tấn công chiếm đoạt
.png "Lỗi bảo mật trên Google cho phép dò ra số điện thoại khôi phục chỉ trong vài phút")
Phát hiện lỗ hổng lộ thông tin khôi phục tài khoản Google
Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong quy trình khôi phục tài khoản của Google, cho phép kẻ tấn công xác định chính xác số điện thoại được liên kết với tài khoản chỉ trong vài phút. Lỗi nằm ở cách Google xử lý biểu mẫu khôi phục tài khoản khi người dùng không bật JavaScript, cho phép tin tặc thử nhiều tổ hợp số mà không bị giới hạn.
Quy trình khai thác bao gồm ba bước:
-
Thu thập tên thật người dùng thông qua các tài liệu chia sẻ như Looker Studio.
-
Lấy được phần số điện thoại bị ẩn (ví dụ: *** *** *03) từ bước khôi phục mật khẩu.
-
Thử hàng loạt số điện thoại qua biểu mẫu để đối chiếu với kết quả, từ đó xác định chính xác số điện thoại khôi phục.
Với số điện thoại này, tin tặc có thể thực hiện tấn công hoán đổi SIM (SIM swap), qua đó chiếm quyền kiểm soát tài khoản Google và truy cập vào email, dịch vụ đám mây, tài khoản ngân hàng và nhiều dữ liệu cá nhân quan trọng.
Giải pháp bảo mật cần thực hiện ngay
-
Không sử dụng số điện thoại làm phương thức khôi phục chính
Ưu tiên dùng email khôi phục hoặc xác thực bằng ứng dụng OTP như Google Authenticator để tránh bị dò qua số điện thoại. -
Không chia sẻ quyền sở hữu tài liệu tùy tiện
Tránh cấp quyền chỉnh sửa hoặc sở hữu các tài liệu Google công khai nếu không cần thiết, nhằm ngăn việc lộ tên thật tài khoản. -
Bật xác thực hai yếu tố nâng cao
Sử dụng các phương pháp bảo mật mạnh như khóa bảo mật vật lý (security key) hoặc mã OTP qua app để tránh bị vượt qua nếu kẻ tấn công chiếm được SIM. -
Theo dõi hoạt động SIM và cảnh báo từ nhà mạng
Đăng ký nhận cảnh báo khi có yêu cầu đổi SIM hoặc thay đổi quyền truy cập để phát hiện sớm hành vi đáng ngờ. -
Thường xuyên kiểm tra và cập nhật phương thức khôi phục
Đảm bảo rằng bạn đang sử dụng các phương thức phục hồi an toàn, loại bỏ số điện thoại nếu không còn cần thiết, và cập nhật liên hệ dự phòng kịp thời.
Sự cố lần này một lần nữa khẳng định tầm quan trọng của bảo mật đa lớp và kiểm soát chặt chẽ thông tin cá nhân, đặc biệt là số điện thoại liên kết tài khoản. Việc tin tặc có thể dò ra số khôi phục chỉ bằng vài thao tác cho thấy người dùng cần chủ động hơn trong việc bảo vệ tài khoản Google và các dịch vụ liên quan.
Hương - Theo TheHackerNews
.png)
.jpg)
.jpg)
