Tin tặc có thể chiếm tài khoản người dùng ngay trước khi tài khoản được tạo?

www.tuoitre.vn -   02/06/2022 12:00:00 304

Trong một đánh giá thực nghiệm đối với 75 trang web phổ biến nhất từ ​​Alexa, 56 lỗ hổng pre-hijacking đã được xác định trên 35 dịch vụ.

Trong một đánh giá thực nghiệm đối với 75 trang web phổ biến nhất từ ​​Alexa, 56 lỗ hổng pre-hijacking đã được xác định trên 35 dịch vụ.

Trong đó bao gồm 13 lỗ hổng Classic-Federated Merge, 19 lỗ hổng Unexpired Session Identifier, 12 lỗ hổng Trojan Identifier, 11 lỗ hổng Unexpired Email Change, và một lỗ hổng Non-Verifying IdP trên một vài nền tảng đáng chú ý bao gồm:

Dropbox – Unexpired Email Change

Instagram – Trojan Identifier

LinkedIn – Unexpired Session và Trojan Identifier

WordPress.com – Unexpired Session and Unexpired Email Change

Zoom – Classic-Federated Merge và Non-verifying IdP

Các chuyên gia cho biết: “Nguyên nhân gốc rễ của tất cả các cuộc tấn công […] là do không xác minh được quyền sở hữu”.

“Mặc dù nhiều dịch vụ thực hiện loại xác minh này, nhưng họ thường làm không đồng bộ, cho phép người dùng sử dụng một số tính năng nhất định của tài khoản trước khi nhận dạng được xác minh. Mặc dù điều này có thể cải thiện khả năng sử dụng (giảm bớt sự khó chịu của người dùng trong quá trình đăng ký), nhưng nó khiến cho người dùng dễ bị nhắm tới bằng tấn công pre-hijacking”.

Trong một đánh giá thực nghiệm đối với 75 trang web phổ biến nhất từ ​​Alexa, 56 lỗ hổng pre-hijacking đã được xác định trên 35 dịch vụ.

Mặc dù việc triển khai xác minh nhận dạng số nghiêm ngặt trong các dịch vụ là rất quan trọng để giảm thiểu các cuộc tấn công pre-hijacking. Tuy nhiên người dùng cũng được khuyến cáo nên bảo mật tài khoản của họ bằng xác thực đa yếu tố (MFA).

Các chuyên gia lưu ý: “MFA được triển khai đúng cách sẽ ngăn tin tặc chiếm tài khoản bị tấn công pre-hijacked sau khi nạn nhân bắt đầu sử dụng tài khoản này. Bên cung cấp dịch vụ cũng phải làm mất hiệu lực bất kỳ phiên hoạt động nào được tạo trước khi kích hoạt MFA để ngăn chặn cuộc tấn công Unexpired Session”.

Ngoài ra, các dịch vụ trực tuyến cũng được khuyên nên xóa định kỳ các tài khoản chưa được xác minh, xác nhận thay đổi địa chỉ email và làm mất hiệu lực các phiên hoạt động trong khi đặt lại mật khẩu để có phương pháp tiếp cận chuyên sâu hơn về quản lý tài khoản.

Sudhodanan và Paverd cho biết : “Khi một dịch vụ hợp nhất một tài khoản được tạo qua tuyến cổ điển với một tài khoản được tạo thông qua tuyến liên kết (hoặc ngược lại), dịch vụ phải đảm bảo rằng người dùng hiện đang kiểm soát cả hai tài khoản”.

Theo Thehackernews

 

TIN CÙNG CHUYÊN MỤC

Phát hiện Dell, HP, Lenovo đang dùng các...

30/11/2022 08:00:00 38
Một phân tích về hình ảnh chương trình cơ sở trên các thiết bị của Dell, HP và Lenovo đã tiết lộ sự ...

Cập nhật ngay trình duyệt Chrome để vá l...

30/11/2022 08:00:00 43
Google hôm thứ Năm đã phát hành bản cập nhật phần mềm để giải quyết một lỗ hổng zero-day khác trong ...

Chế độ ẩn danh mới trên trình duyệt Chro...

30/11/2022 12:00:00 2
Không rõ tính năng này bắt đầu ra mắt khi nào nhưng Google chỉ kích hoạt săn nó theo mặc định cho mộ...

Hơn 300,000 thông tin Facebook bị hack q...

30/11/2022 12:00:00 4
Các ứng dụng lan truyền mã độc này được thiết kế núp bóng dưới dạng phần mềm đọc sách điện tử, với v...

Hàng triệu thiết bị Android vẫn chưa có ...

29/11/2022 08:00:00 49
Một bộ năm lỗ hổng bảo mật mức độ nghiêm trọng trung bình trong trình điều khiển GPU Mali của Arm đã...

Hàng loạt điện thoại Android dính mã độc...

29/11/2022 12:00:00 3
Đã có ít nhất 750 máy nhiễm mã độc nhưng do website chưa bị vô hiệu hóa và World Cup 2022 mới đi đượ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ