Lỗ hổng Facebook mới cho phép tin tặc chiếm quyền bất kỳ tài khoản nào

[Romano]

Mới đây, chuyên gia an ninh mạng Samip Aryal (Nepal) đã phát hiện ra một lỗ hổng Facebook mới, cho phép tin tặc chiếm quyền bất kỳ tài khoản nào chỉ bằng một cú nhấp chuột.
Samip Aryal cũng là một trong những “thợ săn” lỗ hổng hàng đầu hiện nay, chuyên tìm kiếm lỗ hổng và cung cấp báo cáo cho các công ty liên quan để nhận tiền thưởng.

Mới đây, Samip Aryal đã phát hiện một lỗ hổng Facebook nghiêm trọng mà không cần người dùng tương tác (zero-click).

Tấn công zero-click là gì?
Đây là một loại tấn công mạng mà trong đó nạn nhân không cần phải thực hiện bất kỳ hành động nào, chẳng hạn như nhấp vào liên kết hay mở tệp đính kèm mà vẫn bị nhiễm mã độc hoặc bị hack. Điều này khác biệt so với các cuộc tấn công thông thường, nơi nạn nhân cần tương tác với một yếu tố độc hại để kích hoạt cuộc tấn công.

Tấn công zero-click thường tận dụng các lỗ hổng chưa được biết đến hoặc chưa được vá (còn gọi là lỗ hổng zero-day) trong phần mềm hoặc hệ thống.

Cụ thể, Aryal đã kiểm tra chức năng đặt lại mật khẩu và phát hiện ra một lỗ hổng Facebook nghiêm trọng. Aryal đã trình bày chi tiết những phát hiện của mình trong một bài đăng trên blog Medium, trong đó anh mô tả quá trình gỡ cài đặt và cài đặt lại các phiên bản khác nhau của Facebook dành cho Android, sử dụng các tác nhân người dùng khác nhau để kích hoạt thông báo đặt lại mật khẩu, và điều này sẽ tiết lộ mã bảo mật gồm 6 chữ số.

Sau khi nhận được báo cáo của Aryal, Meta đã nhanh chóng giải quyết lỗ hổng Facebook. Đóng góp của Aryal không chỉ mang lại cho anh ta phần thưởng tiền thưởng cao nhất, số tiền chính xác vẫn chưa được tiết lộ mà còn củng cố tầm quan trọng của các biện pháp an ninh.

Aryal khuyến nghị tất cả người dùng Facebook nên sử dụng mật khẩu hoặc cụm mật khẩu mạnh và bật xác thực hai yếu tố để tăng cường bảo mật tài khoản.

Những phản ánh về thực tiễn an ninh mạng
Việc Aryal và nhóm bảo mật của Facebook giải quyết lỗ hổng nghiêm trọng này nhấn mạnh tầm quan trọng của những nỗ lực hợp tác trong lĩnh vực an ninh mạng. Bằng cách khai thác và sau đó vá lỗ hổng này, họ đã ngăn chặn hành vi chiếm đoạt tài khoản có khả năng xảy ra trên diện rộng, đồng thời nhấn mạnh tầm quan trọng của việc liên tục cảnh giác và cải tiến các biện pháp bảo mật kỹ thuật số.

Khi các mối đe dọa mạng trở nên phức tạp hơn, vai trò của những cá nhân có kỹ năng như Aryal trong việc xác định và giảm thiểu các lỗ hổng trước khi chúng có thể bị các tác nhân độc hại khai thác ngày càng trở nên quan trọng.

Sau phát hiện này, Meta đưa chuyên gia an ninh mạng Samip Aryal lên đầu danh sách White Hat Hall of Fame. Năm ngoái, Aryal cũng được công nhận, xếp thứ 27 trong danh sách vì đã phát hiện ra nhiều lỗ hổng Facebook.

Tương tự, hai người Nepal khác là Bistrit Dahal và Sant Bahadur Gharti Magar cũng được xếp hạng thứ 7 và thứ 9 về những đóng góp của họ cho an ninh mạng.