Hack tài khoản Facebook? Chỉ cần lừa người đó mở một đường dẫn URL

Năm 2019 là năm mà chỉ cần nhấn vào một đường dẫn URL cũng có thể giúp kẻ tấn công đánh cắp tài khoản của bạn mà không cần thêm bất kỳ tương tác nào.

Một chuyên gia bảo mật vừa mới phát hiện ra lỗ hổng bảo mật yêu cầu chéo trang web (CSRF) quan trọng tren nền tảng mạng xã hội phổ biến nhất hiện nay, cho phép kẻ tấn công chiếm đoạt tài khoản Facebook bằng cách lừa người dùng nhấn vào một đường dẫn URL.

Nhà nghiên cứu bảo mật có biệt danh “Samm0uda”, đã phát hiện ra lỗ hổng này sau khi anh phát hiện một điểm cuối thiếu sót (facebook.com/comet/dialog_DONOTUSE/) có thể bị khai thác để vượt qua sự bảo vệ của CSRF và chiếm đoạt tài khoản của nạn nhân.

Tất cả những gì kẻ tấng công cần làm là lừa nạn nhân nhấp vào một URL Facebook đặc biệt đã được chế tạo riêng, được thiết kế để thực hiện nhiều hành động thông thường trên mạng xã hội như đăng bất cứ điều gì trên dòng thời gian của nạn nhân, thay đổi hay xóa ảnh của nạn nhân, thậm chí lừa người dùng dùng xóa toàn bộ tài khoản Facebook.

Việc chiếm quyền kiểm soát hoàn toàn tài khoản của nạn nhân hoặc lừa họ xóa toàn bộ tài khoản Facebook của họ đòi hỏi một số nỗ lực thêm từ phía kẻ tấn công, vì nạn nhân cần nhập mật khẩu trước khi tài khoản bị xóa.

Để làm điều này, nhà nghiên cứu cho biết họ sẽ yêu cầu các nạn nhân truy cập hai URL riêng biệt, một để thêm email hoặc số điện thoại và một để xác nhận nó.

Đó là "bởi vì các điểm cuối 'bình thường' được sử dụng để thêm email hoặc số điện thoại không có tham số 'tiếp theo' để chuyển hướng người dùng sau khi yêu cầu thành công," nhà nghiên cứu nói.

Tuy nhiên, nhà nghiên cứu vẫn thực hiện việc tiếp quản tài khoản đầy đủ với một URL bằng cách tìm các điểm cuối có tham số 'tiếp theo' và ủy quyền cho một ứng dụng độc hại thay cho nạn nhân và lấy mã thông báo truy cập Facebook của họ.

Với quyền truy cập vào mã thông báo xác thực của nạn nhân, khai thác sẽ tự động thêm địa chỉ email do kẻ tấn công kiểm soát vào tài khoản của họ, cho phép kẻ tấn công chiếm đoạt hoàn toàn tài khoản bằng cách đặt lại mật khẩu và khóa người dùng hợp pháp khỏi tài khoản Facebook của họ.

Mặc dù vụ hack chiếm đoạt tài khoản Facebook đầy đủ bao gồm nhiều bước, nhà nghiên cứu cho biết việc khai thác hoàn toàn bằng một cú nhấp chuột sẽ cho phép bất kỳ người dùng độc hại nào chiếm đoạt tài khoản Facebook của bạn "trong chớp mắt".

Các cuộc tấn công chiếm đoạt tài khoản như vậy có thể được giảm nhẹ nếu bạn đã bật xác thực hai yếu tố cho tài khoản Facebook của mình, ngăn chặn tin tặc đăng nhập vào tài khoản của bạn cho đến khi hoặc trừ khi chúng xác minh mật mã 6 chữ số được gửi đến thiết bị di động của bạn.

Tuy nhiên, bất kỳ sự giảm thiểu nào cũng không thể ngăn chặn tin tặc thực hiện một số hành động thay mặt bạn tận dụng lỗ hổng này, như thay đổi hoặc xóa ảnh hoặc album hồ sơ của bạn hoặc đăng bất cứ điều gì trên dòng thời gian của bạn.

Samm0uda đã báo cáo lỗ hổng với chi tiết khai thác của mình lên Facebook vào ngày 26 tháng 1. Facebook ngay sau đó đã thừa nhận vấn đề này và giải quyết nó vào ngày 31/1, thưởng cho nhà nghiên cứu bảo mật 25.000 USD như một phần khuyến khích cho việc tìm lỗi bảo mật trên Facebook.

Minh Hương