Bảo mật Facebook không tin tưởng như bạn nghĩ

[Hanna]

Facebook có những bảo mật mà thực ra là không đáng tin cậy như mong đợi. Có người thử hack vào máy chủ và không chỉ một lần. Cùng vietbf.com khám phá thêm.

Máy chủ của Facebook đã bị cài backdoor, keylogger và bị xâm nhập không chỉ 1 lần...

Internet là môi trường vô cùng phức tạp với vô số người tốt, kẻ xấu. Vì thế, rất nhiều hãng công nghệ đã không tiếc tiền treo thưởng cho những ai tìm được lỗ hổng bảo mật trong hệ thống của họ. Google đã chi gần 3 triệu USD trong năm 2015 cho chương trình Bug Bounty Program trong khi đó, Facebook - mạng xã hội lớn nhất hành tinh cũng duy trì chính sách tương tự.

Một chuyên gia bảo mật đã phát hiện tới 7 lỗ hổng bảo mật nghiêm trọng trên Facebook, và mọi chuyện không dừng lại ở đó,...



Facebook liệu có bảo mật như bạn nghĩ?

Orange Tsai, chuyên gia công nghệ của DevCore là một hacker "mũ trắng" - người chuyên săn tìm các lỗ hổng cho các công ty lớn để lấy tiền thường. Tháng 2/2016, Tsai đã bắt đầu thử sức với Facebook bằng việc cố gắng xâm nhập ứng dụng chia sẻ tập tin nội bộ của mạng xã hội lớn nhất hành tinh, cụ thể ở đây là domain files.fb.com - dịch vụ transfer, hosting và syncing file chạy trên nền tảng Secure File Transfer (FTA) do Accellion phát triển.



Orange Tsai bắt đầu với việc xâm nhập domain files.fb.com

Không lâu trước đó, các chuyên gia bảo mật cũng từng phát hiện ra một lỗ hổng trên FTA v0.18 ( LINK ).Sau khi được Accellion vá lỗi, domain files.fb.com đã nhanh chóng cập nhật lên FTA v0.20.

Thế nhưng, sau khi tìm hiểu sâu vào sourcode (được mã hóa bằng IonCube), Tsai đã tìm ra không chỉ 1 mà tới 7 lỗ hổng bảo mật trên ứng dụng này, bao gồm: 3 lỗ hổng XSS (cross-site scripting), 1 lỗi Pre-auth SQL Injection + Known-Secret-Key cho phép thực thi mã code từ xa và 2 lỗ hổng cho phép leo thang đặc quyền hệ thống (Local Privilege Escalation).



Anh đã phát hiện ra 7 lỗ hổng bao mật, trong có đó lỗ hổng SQL injection cho phép thực thi mã code từ xa

Mọi chuyển trở nên dễ dàng hơn, Tsai tận dụng lỗ hổng SQL injection vừa phát hiện ở trên, truy cập vào máy chủ của Facebook và sau đó chiếm quyền kiểm soát hoàn toàn thiết bị. Cuối cùng, chuyên gia công nghệ này quyết định thông báo tới Facebook để mạng xã hội này sửa lỗi. Tuy nhiên, có 1 thứ còn đáng sợ hơn được Tsai phát hiện.

Máy chủ của Facebook đã bị cài backdoor, keylogger và bị xâm nhập không chỉ 1 lần ...

Trong khi nghiên cứu những file log (tập tin chứa tất cả thông tin về các hoạt động trên máy chủ, như thông tin người truy cập, thời gian khách viếng thăm, địa chỉ IP…. hay thông báo lỗi), Tsai phát hiện những thông báo lỗi rất đáng ngờ.

Cụ thể, một webshell bí ẩn đã được "ai đó" cài lên máy chủ hoạt động như một keylogger có nhiệm vụ ghi lại tất cả thông tin đăng nhập của nhân viên Facebook trên domain files.fb.com vào file log trên.



Mọi việc bắt đầu "đáng sợ" hơn khi Tsai đọc sâu vào file log



Và phát hiện máy chủ Facebook đã bị cài webshell

Mot chuyen gia bao mat da hack duoc Facebook, nhung moi thu sau do moi that dang so - Anh 6

Keylogger ghi lại username & password của nhân viên Facebook

Sau 1 khoảng thời gian nhất định, hacker lại xâm nhập vào máy chủ Facebook để xóa dấu vết

192.168.54.13 - - 17955 [Sat, 23 Jan 2016 19:04:10 +0000 | 1453575850] "GET /courier/custom_template/1000/bN3dl0Aw.php?c=./sshpass -p '********' ssh -v -o StrictHostKeyChecking=no soggycat@localhost 'cp /home/seos/courier/B3dKe9sQaa0L.log /home/seos/courier/B3dKe9sQaa0L.log.2; echo > /home/seos/courier/B3dKe9sQaa0L.log' 2>/dev/stdout HTTP/1.1" 200 2559 ...

Lấy thông tin dữ liệu từ file log

...
Truy cập hệ thống mail nội bộ của Facebook:
....



SSL Key xác thực là *.fb.com

Tiếp tục điều tra những file log khác trên hệ thống, Tsai đã xác định được cách thức, thời điểm hacker xâm nhập vào hệ thống máy chủ Facebook, vào tháng 7/2015 và 9/2015 để thu thập dữ liệu trên file log, đánh cắp SSL Key cũng như xóa dấu vết. Chuyên gia bảo mật này cũng khẳng định, đứng sau những lần tấn công vào hệ thống trên của Facebook là 1 người (nhóm người) mà thôi.

Sau khi thu thập tất cả thông tin, hình ảnh cùng những file log bị nghi ngờ, Tsai đã ngay lập tức báo cáo với đội bảo mật Facebook. Ngay lập tức, mạng xã hội này đã tiến hành điều tra lỗ hổng bảo mật trên, bên cạnh việc trao thưởng cho chuyên gia này số tiền 10.000 USD (hơn 220 triệu đồng).

Tham khảo: devco