Tin tặc có thể chiếm tài khoản người dùng ngay trước khi tài khoản được tạo?
Trong một đánh giá thực nghiệm đối với 75 trang web phổ biến nhất từ Alexa, 56 lỗ hổng pre-hijacking đã được xác định trên 35 dịch vụ.
.jpg "Trong một đánh giá thực nghiệm đối với 75 trang web phổ biến nhất từ Alexa, 56 lỗ hổng pre-hijacking đã được xác định trên 35 dịch vụ.")
Trong đó bao gồm 13 lỗ hổng Classic-Federated Merge, 19 lỗ hổng Unexpired Session Identifier, 12 lỗ hổng Trojan Identifier, 11 lỗ hổng Unexpired Email Change, và một lỗ hổng Non-Verifying IdP trên một vài nền tảng đáng chú ý bao gồm:
Dropbox – Unexpired Email Change
Instagram – Trojan Identifier
LinkedIn – Unexpired Session và Trojan Identifier
WordPress.com – Unexpired Session and Unexpired Email Change
Zoom – Classic-Federated Merge và Non-verifying IdP
Các chuyên gia cho biết: “Nguyên nhân gốc rễ của tất cả các cuộc tấn công […] là do không xác minh được quyền sở hữu”.
“Mặc dù nhiều dịch vụ thực hiện loại xác minh này, nhưng họ thường làm không đồng bộ, cho phép người dùng sử dụng một số tính năng nhất định của tài khoản trước khi nhận dạng được xác minh. Mặc dù điều này có thể cải thiện khả năng sử dụng (giảm bớt sự khó chịu của người dùng trong quá trình đăng ký), nhưng nó khiến cho người dùng dễ bị nhắm tới bằng tấn công pre-hijacking”.
.jpg "Trong một đánh giá thực nghiệm đối với 75 trang web phổ biến nhất từ Alexa, 56 lỗ hổng pre-hijacking đã được xác định trên 35 dịch vụ.")
Mặc dù việc triển khai xác minh nhận dạng số nghiêm ngặt trong các dịch vụ là rất quan trọng để giảm thiểu các cuộc tấn công pre-hijacking. Tuy nhiên người dùng cũng được khuyến cáo nên bảo mật tài khoản của họ bằng xác thực đa yếu tố (MFA).
Các chuyên gia lưu ý: “MFA được triển khai đúng cách sẽ ngăn tin tặc chiếm tài khoản bị tấn công pre-hijacked sau khi nạn nhân bắt đầu sử dụng tài khoản này. Bên cung cấp dịch vụ cũng phải làm mất hiệu lực bất kỳ phiên hoạt động nào được tạo trước khi kích hoạt MFA để ngăn chặn cuộc tấn công Unexpired Session”.
Ngoài ra, các dịch vụ trực tuyến cũng được khuyên nên xóa định kỳ các tài khoản chưa được xác minh, xác nhận thay đổi địa chỉ email và làm mất hiệu lực các phiên hoạt động trong khi đặt lại mật khẩu để có phương pháp tiếp cận chuyên sâu hơn về quản lý tài khoản.
Sudhodanan và Paverd cho biết : “Khi một dịch vụ hợp nhất một tài khoản được tạo qua tuyến cổ điển với một tài khoản được tạo thông qua tuyến liên kết (hoặc ngược lại), dịch vụ phải đảm bảo rằng người dùng hiện đang kiểm soát cả hai tài khoản”.
Theo Thehackernews
.png)
.png)
Tin cùng chuyên mục
Xem tất cả ».jpg)
Máy tính desktop Android sẽ là xu hướng trong năm 2026?
31/12/2025 12:00:00
.png)
Tăng cường quản lý khả năng chatbot AI tác động đến cảm xúc con người?
29/12/2025 12:00:00
Làm sao để sử dụng wifi công cộng an toàn hơn (phần 3)
26/12/2025 12:00:00
