Theo Facebook, chiều ngày 25/9, nhóm kỹ thuật của mạng xã hội này đã phát hiện một vấn đề bảo mật ảnh hưởng đến gần 50 triệu tài khoản. Tin tặc đã khai thác lỗ hổng kỹ thuật để đánh cắp mã thông báo của Facebook tại tính năng “View As” (Xem trang với tư cách khác), một tính năng giúp người dùng xem trang cá nhân của họ hiển thị như thế nào đối với bạn bè. Lỗ hổng này cho phép tin tặc chiếm đoạt chuỗi mã truy cập Facebook, từ đó có thể chiếm đoạt tài khoản của người dùng. Mã truy cập giống như một chìa khóa kỹ thuật số giúp người dùng đăng nhập vào Facebook mà không cần phải nhập lại mật khẩu mỗi khi sử dụng ứng dụng.
Tin tặc đã lợi dụng lỗ hổng tại tính năng “View As” để tấn công
Theo Facebook, lỗ hổng này là kết quả hợp thành của 03 lỗi riêng biệt:
Thứ nhất: View As là một tính năng riêng tư giúp người dùng xem trang cá nhân của họ hiển thị như thế nào đối với bạn bè. View As nên tồn tại ở giao diện view-only. Tuy nhiên, đối với một dạng đăng nội dung (hộp thoại nơi người dùng đăng nội dung lên Facebook), cụ thể hơn là phiên bản giúp người dùng gửi lời chúc mừng sinh nhật tới bạn bè, View As đã cho phép đăng video không chính xác.
Thứ hai: Một phiên bản mới của trình tải lên video (giao diện có thể coi là kết quả hiển thị của lỗi đầu tiên), ra mắt tháng 7/2017, đã tạo ra một mã truy cập không chính xác có quyền đăng nhập vào ứng dụng Facebook trên điện thoại.
Thứ ba: Khi trình tải lên video xuất hiện như là một phần của View As, nó tạo ra một mã truy cập nhưng không phải dành cho người dùng chính với tư cách là người xem video mà dành cho những người dùng khác mà người dùng chính đã tìm kiếm.
Sự kết hợp của 03 lỗi trên đã trở thành một lỗ hổng bảo mật: Khi sử dụng tính năng View As để xem trang cá nhân, mã đăng nhập không xóa đi phần đăng nội dung giúp người dùng chúc mừng sinh nhật; trình tải lên video sẽ tạo ra một mã truy cập không cần thiết, và khi mã đó được tạo nên, nó không dành cho người dùng, mà cho những người được tìm kiếm. Mã truy cập sau đó sẽ hiển thị trong giao diện HTML của trang, từ đó những kẻ tấn công có thể trích xuất và khai thác để đăng nhập vào với tư cách một người dùng khác. Những kẻ tấn công sau đó có thể chuyển hướng từ mã truy cập đó sang những tài khoản khác, thực hiện những hành động tương tự và chiếm đoạt nhiều mã truy cập hơn.
Facebook đã làm gì?
Để bảo vệ tài khoản của người dùng, Facebook đã khắc phục lỗ hổng bảo mật. Facebook cũng đã cài đặt lại mã truy cập của gần 50 triệu tài khoản bị ảnh hưởng và thực hiện bước dự phòng bằng các cài đặt mã truy cập cho 40 triệu tài khoản khác đã từng sử dụng tính năng View As trong thời gian qua. Cuối cùng, Facebook tạm thời tắt tính năng View As trong khi tiến hành kiểm tra bảo mật kỹ lưỡng.
Thông báo cập nhật trên Facebook lúc 3h08 phút ngày 29/9 (giờ Việt Nam) giải thích sự cố xảy ra với người dùng
Vì vậy, có khoảng 90 triệu người sẽ cần phải đăng nhập lại Facebook hoặc bất kỳ ứng dụng nào sử dụng Đăng nhập Facebook. Sau khi đã đăng nhập lại, người dùng sẽ nhận được thông báo ở đầu Bảng tin giải thích sự cố đã xảy ra.
Người dùng cần làm gì?
Theo Facebook, quyền riêng tư và bảo mật của người dùng vô cùng quan trọng, và mạng xã hội này đã đưa ra lời xin lỗi vì đã để xảy ra sự cố vừa qua. Đó là lý do Facebook đã thực hiện hành động ngay lập tức bằng việc thoát 90 triệu tài khoản của người dùng. Điều này nhằm bảo vệ những tài khoản bị ảnh hưởng và cho người dùng biết những gì đang xảy ra.
Theo Facebook, cuộc điều tra để xác định danh tính kẻ tấn công đang được diễn ra
Theo Facebook, người dùng không cần thay đổi mật khẩu của mình. Nhưng với những ai gặp khó khăn khi đăng nhập lại Facebook, ví dụ như quên mật khẩu đăng nhập, thì nên truy cập Trung tâm Trợ giúp.
Nếu như người dùng muốn thực hiện những bước đề phòng đăng xuất khỏi Facebook, hãy truy cập phần “Bảo mật và Đăng nhập” trong mục Cài đặt. Tại đây, Facebook liệt kê những thiết bị mà người dùng đăng nhập Facebook và cung cấp tùy chọn đăng xuất khỏi tất cả bằng một cú nhấp chuột.
Cuối cùng, để an toàn nhất, người dùng có thể thay đổi mật khẩu của mình. Khi đã khôi phục tài khoản, người dùng cần thắt chặt bảo mật tài khoản bằng cách thay đổi mật khẩu hoặc bật Sử dụng xác thực hai yếu tố (2FA) trong phần “Bảo mật và Đăng nhập”, trong mục Cài đặt.
ĐT
Theo VTVnews
09:00 | 27/07/2018
09:00 | 31/05/2018
11:00 | 27/11/2018
22:00 | 18/12/2018
08:00 | 25/12/2018
13:00 | 09/05/2018
17:00 | 28/08/2024
Tháng Chín - tháng của cờ hoa rực rỡ cùng âm hưởng hào hùng, sâu lắng luôn gợi nhắc mỗi người dân Việt Nam nhớ về những ngày mùa Thu lịch sử, về Tổng khởi nghĩa tháng Tám năm 1945 và ngày Quốc khánh 2/9. Ngày 2/9 được xem là cột mốc chói lọi trong hàng nghìn năm dựng nước và giữ nước của dân tộc ta. Trong không khí tưng bừng đó, những người làm công tác Cơ yếu dành nhiều hơn một chút hoài niệm cho tháng Chín năm xưa bởi chính trong những năm tháng hào hùng đó ngành Cơ yếu Việt Nam được thành lập.
13:00 | 21/08/2024
Chỉ trong vòng vài tháng, tốc độ Internet di động tại Việt Nam đã có bước nhảy vọt đáng kinh ngạc, nhờ vào chính sách công khai chất lượng dịch vụ. Người dùng đang được hưởng lợi trực tiếp từ sự cạnh tranh giữa các nhà mạng.
08:00 | 22/07/2024
Bản tin podcast ngày hôm nay xin mời quý vị lắng nghe về các sự kiện quan trọng, tiêu biểu của ngành Cơ yếu Việt Nam liên quan đến ngày 22 tháng 7 mà Tạp chí An toàn thông tin điện tử tổng hợp.
08:00 | 21/07/2024
Trước nhu cầu công tác ngày càng phát triển, xét cần phải thống nhất lãnh đạo công tác Cơ yếu của các ngành: Đảng, Chính quyền, Quân đội để đảm bảo hoàn toàn việc giữ bí mật trong việc liên lạc bằng mật mã ở trong nước và ngoài nước, ngày 21/7/1956, Ban Bí thư Trung ương Đảng đã ra nghị quyết thành lập Ban Cơ yếu Trung ương.
“Vinh quang thầm lặng 2024” là chương trình nghệ thuật đặc biệt, lấy âm nhạc để vinh danh những thành tựu và cống hiến hào hùng của Ngành trong suốt quá trình chiến đấu, trưởng thành và phát triển. Qua đó, tạo sự đồng thuận trong việc phối hợp triển khai nhiệm vụ chính trị, xây dựng ngành Cơ yếu Việt Nam cách mạng, chính quy, tiến thẳng lên hiện đại, đáp ứng yêu cầu bảo mật, an toàn thông tin quốc gia trong tình hình mới. Đó là những lời chia sẻ của đồng chí Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ tại buổi họp báo được tổ chức chiều ngày 29/8 tại Hà Nội.
15:00 | 30/08/2024
Chính phủ Hàn Quốc đưa ra cáo buộc rằng tin tặc Triều Tiên đã đánh cắp thông tin quan trọng về xe tăng K2, xe tăng chiến đấu chủ lực của nước này, cũng như máy bay do thám có tên Baekdu và Geumgang.
11:00 | 26/08/2024
Kể từ tháng 8/2023, các nền tảng kỹ thuật số lớn nhất thế giới phải đối mặt với các quy định nghiêm ngặt nhất từ trước đến nay tại Liên minh châu Âu.
08:00 | 26/08/2024