Với vài kỹ năng IT cơ bản, một Hacker “mũ trắng” (Hacker không phá hoại) đã tìm ra được lỗ hổng bảo mật của Facebook khiến nhiều tài khoản có nguy cơ bị hack.
.jpg)
Một hacker "tốt bụng" vừa tìm ra lỗ hổng bảo mật và báo cáo cho Facebook để phòng tránh
Gurkirat là tên của anh chàng Hacker “mũ trắng” này. Gurkirat đã phát hiện ra một lỗ hổng bảo mật có thể cho phép hacker thâm nhập vào tài khoản của người dùng ngay qua cơ chế reset mật khẩu của Facebook. Một khi đã truy cập được vào tài khoản của bạn, hacker có thể trở thành “chính chủ” Facebook và thao túng tất cả hoạt động của tài khoản này.
Lỗ hổng bảo mật nằm ở ID 15 chữ số của Facebook
Nếu bạn là người dùng Facebook bạn có thể dễ dàng nhận thấy mỗi tài khoản Facebook sẽ là một đường dẫn được cấu tạo bởi các tên tắt hoặc một dãy số 15 chữ số, đây chính là ID của một người dùng bất kỳ.
.png)
Lỗ hổng này xuất phát từ việc đặt link cho mỗi tài khoản bằng một dãy số dài 15 chữ số
Hacker này đã thu thập hàng loạt ID Facebook đang sử dụng bằng cách truy xuất Facebook Graph API bắt đầu từ số 100.000.000.000.000. Bằng cách này, Gurkirat có thể kiếm được một danh sách 2 triệu username người dùng đang hoạt động Facebook.
Gurkirat có thể dễ dàng tạo lập 2 triệu yêu cầu reset cùng lúc từ 2 triệu người dùng trong danh sách thu thập được ở trên. Như vậy, với mỗi yêu cầu reset, Gurkirat lại lấy được một đoạn mã 6 chữ số trùng lặp với một người nào đó khác, sử dụng hết 1.000.000 cách kết hợp 6 chữ số này.
.JPG)
Không khó để có thể tìm ra một ai đó bằng cách gõ một con số ngẫu nhiên 15 chữ số kết hợp với www.facebook/com/...
Gurkirat sẽ chọn ngẫu nhiên một đoạn mã 6 bất kỳ, chẳng hạn như 471374, rồi bắt đầu quá trình reset mật khẩu bằng một đoạn script khác cho danh sách 2 triệu người dùng này. Cuối cùng, nếu Gurkirat sử dụng mã 6 số bất kỳ kia gõ reset mật khẩu tài khoản một người ngẫu nhiên trong danh sách được Facebook gán cho đúng đoạn mã như 471374 đó thì hoàn toàn có khả năng chiếm được tài khoản của nạn nhân.
Hướng dẫn bạn đọc một số cách bảo mật tài khoản Facebook
- Kích hoạt Login Approvals để ngăn chặn người khác truy cập tài khoản của bạn từ một thiết bị chưa được cấp quyền. Bằng cách bật tính năng Login Approvals, Facebook sẽ gửi bạn một đoạn mã OTP 6 chữ số qua SMS (đến số điện thoại bạn đã đăng ký). Như vậy, nếu ai đó đang cố gắng truy cập tài khoản của bạn từ một thiết bị mới, bạn cũng sẽ nhận được đoạn mã OTP báo hiệu.
Nếu ai đó đang cố gắng truy cập tài khoản của bạn từ một thiết bị mới, bạn cũng sẽ nhận được đoạn mã OTP báo hiệu bằng cách kích hoạt tính năng này
- Kích hoạt Login Notification Alert: Facebook cũng cung cấp một tính năng bảo mật khác là Login Alerts. Login Alerts sẽ gửi cho bạn một email hoặc tin nhắn SMS mỗi khi nó nghi ngờ có người khác đang truy cập vào tài khoản của ban.
Nếu lượt truy cập đó đúng là từ thiết bị lạ bạn không biết, bạn chỉ cần làm theo các bước hướng dẫn trong email gửi đến để vô hiệu hóa quyền truy cập từ thiết bị đó.
- Sử dụng phần mềm quản lý password: Lời khuyên để giữ mật khẩu mạnh cho tất cả các tài khoản online mà không cần phải nhớ hết chúng là sử dụng các phần mềm quản lý password. Các phần mềm quản lý password sẽ đưa ra các mật khẩu phức tạp, không trùng lặp cho từng tài khoản của bạn rồi lưu trữ chúng dưới dạng file mã hóa được bảo vệ an toàn khỏi cả những kẻ truy cập được vào điện thoại hay PC của bạn.
File mã hóa đó chỉ có thể truy cập được vào bằng một mật khẩu chủ (master passworrd). Chính vì vậy tất cả những gì bạn cần làm là nhớ mật khẩu chủ của mình để mở được các phần mềm quản lý mật khẩu.
