Theo Facebook, chiều ngày 25/9, nhóm kỹ thuật của mạng xã hội này đã phát hiện một vấn đề bảo mật ảnh hưởng đến gần 50 triệu tài khoản. Tin tặc đã khai thác lỗ hổng kỹ thuật để đánh cắp mã thông báo của Facebook tại tính năng “View As” (Xem trang với tư cách khác), một tính năng giúp người dùng xem trang cá nhân của họ hiển thị như thế nào đối với bạn bè. Lỗ hổng này cho phép tin tặc chiếm đoạt chuỗi mã truy cập Facebook, từ đó có thể chiếm đoạt tài khoản của người dùng. Mã truy cập giống như một chìa khóa kỹ thuật số giúp người dùng đăng nhập vào Facebook mà không cần phải nhập lại mật khẩu mỗi khi sử dụng ứng dụng.
Tin tặc đã lợi dụng lỗ hổng tại tính năng “View As” để tấn công
Theo Facebook, lỗ hổng này là kết quả hợp thành của 03 lỗi riêng biệt:
Thứ nhất: View As là một tính năng riêng tư giúp người dùng xem trang cá nhân của họ hiển thị như thế nào đối với bạn bè. View As nên tồn tại ở giao diện view-only. Tuy nhiên, đối với một dạng đăng nội dung (hộp thoại nơi người dùng đăng nội dung lên Facebook), cụ thể hơn là phiên bản giúp người dùng gửi lời chúc mừng sinh nhật tới bạn bè, View As đã cho phép đăng video không chính xác.
Thứ hai: Một phiên bản mới của trình tải lên video (giao diện có thể coi là kết quả hiển thị của lỗi đầu tiên), ra mắt tháng 7/2017, đã tạo ra một mã truy cập không chính xác có quyền đăng nhập vào ứng dụng Facebook trên điện thoại.
Thứ ba: Khi trình tải lên video xuất hiện như là một phần của View As, nó tạo ra một mã truy cập nhưng không phải dành cho người dùng chính với tư cách là người xem video mà dành cho những người dùng khác mà người dùng chính đã tìm kiếm.
Sự kết hợp của 03 lỗi trên đã trở thành một lỗ hổng bảo mật: Khi sử dụng tính năng View As để xem trang cá nhân, mã đăng nhập không xóa đi phần đăng nội dung giúp người dùng chúc mừng sinh nhật; trình tải lên video sẽ tạo ra một mã truy cập không cần thiết, và khi mã đó được tạo nên, nó không dành cho người dùng, mà cho những người được tìm kiếm. Mã truy cập sau đó sẽ hiển thị trong giao diện HTML của trang, từ đó những kẻ tấn công có thể trích xuất và khai thác để đăng nhập vào với tư cách một người dùng khác. Những kẻ tấn công sau đó có thể chuyển hướng từ mã truy cập đó sang những tài khoản khác, thực hiện những hành động tương tự và chiếm đoạt nhiều mã truy cập hơn.
Facebook đã làm gì?
Để bảo vệ tài khoản của người dùng, Facebook đã khắc phục lỗ hổng bảo mật. Facebook cũng đã cài đặt lại mã truy cập của gần 50 triệu tài khoản bị ảnh hưởng và thực hiện bước dự phòng bằng các cài đặt mã truy cập cho 40 triệu tài khoản khác đã từng sử dụng tính năng View As trong thời gian qua. Cuối cùng, Facebook tạm thời tắt tính năng View As trong khi tiến hành kiểm tra bảo mật kỹ lưỡng.
Thông báo cập nhật trên Facebook lúc 3h08 phút ngày 29/9 (giờ Việt Nam) giải thích sự cố xảy ra với người dùng
Vì vậy, có khoảng 90 triệu người sẽ cần phải đăng nhập lại Facebook hoặc bất kỳ ứng dụng nào sử dụng Đăng nhập Facebook. Sau khi đã đăng nhập lại, người dùng sẽ nhận được thông báo ở đầu Bảng tin giải thích sự cố đã xảy ra.
Người dùng cần làm gì?
Theo Facebook, quyền riêng tư và bảo mật của người dùng vô cùng quan trọng, và mạng xã hội này đã đưa ra lời xin lỗi vì đã để xảy ra sự cố vừa qua. Đó là lý do Facebook đã thực hiện hành động ngay lập tức bằng việc thoát 90 triệu tài khoản của người dùng. Điều này nhằm bảo vệ những tài khoản bị ảnh hưởng và cho người dùng biết những gì đang xảy ra.
Theo Facebook, cuộc điều tra để xác định danh tính kẻ tấn công đang được diễn ra
Theo Facebook, người dùng không cần thay đổi mật khẩu của mình. Nhưng với những ai gặp khó khăn khi đăng nhập lại Facebook, ví dụ như quên mật khẩu đăng nhập, thì nên truy cập Trung tâm Trợ giúp.
Nếu như người dùng muốn thực hiện những bước đề phòng đăng xuất khỏi Facebook, hãy truy cập phần “Bảo mật và Đăng nhập” trong mục Cài đặt. Tại đây, Facebook liệt kê những thiết bị mà người dùng đăng nhập Facebook và cung cấp tùy chọn đăng xuất khỏi tất cả bằng một cú nhấp chuột.
Cuối cùng, để an toàn nhất, người dùng có thể thay đổi mật khẩu của mình. Khi đã khôi phục tài khoản, người dùng cần thắt chặt bảo mật tài khoản bằng cách thay đổi mật khẩu hoặc bật Sử dụng xác thực hai yếu tố (2FA) trong phần “Bảo mật và Đăng nhập”, trong mục Cài đặt.
ĐT
Theo VTVnews
09:00 | 27/07/2018
09:00 | 31/05/2018
11:00 | 27/11/2018
22:00 | 18/12/2018
08:00 | 25/12/2018
13:00 | 09/05/2018
16:00 | 30/10/2024
Trong hai ngày 28 - 29/10, tại tỉnh Vĩnh Phúc, Cục Cơ yếu Đảng - Chính quyền/Ban Cơ yếu Chính phủ đã tổ chức thành công Hội thi Kỹ thuật nghiệp vụ mật mã Hệ Cơ yếu Đảng - Chính quyền lần thứ VI. Tới tham dự và chỉ đạo Hội thi có Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ; đại diện lãnh đạo các Hệ Cơ yếu và các cơ quan, đơn vị thuộc Ban; Lãnh đạo Văn phòng các tỉnh, thành ủy, bộ, ngành có đoàn tham gia, cùng toàn thể các thí sinh tham gia Hội thi.
14:00 | 28/10/2024
Mới đây, Eric Council Jr., 25 tuổi đã bị bắt giữ tại Mỹ do bị cáo buộc tấn công tài khoản mạng xã hội X của Ủy ban Chứng khoán và Giao dịch Mỹ (SEC) nhằm thao túng giá Bitcoin hồi đầu năm nay. Vụ việc này một lần nữa gióng lên hồi chuông cảnh báo về an ninh mạng và những rủi ro tiềm ẩn từ các cuộc tấn công mạng có chủ đích.
17:00 | 23/10/2024
Sáng ngày 23/10, tại Hà Nội, Học viện Kỹ thuật mật mã (Ban Cơ yếu Chính phủ) long trọng tổ chức Lễ khai giảng năm học 2024 - 2025. Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ dự và chỉ đạo buổi Lễ.
13:00 | 30/09/2024
Các chuyên gia an ninh mạng khuyến cáo người dùng TikTok cần hết sức thận trọng trước các tin nhắn mời thử nghiệm phiên bản mới, tránh trở thành nạn nhân của lừa đảo trực tuyến.
Ngày 31/10, Bộ Giáo dục và Đào tạo (GD&ĐT) tổ chức Hội nghị tổng kết công tác tổ chức kỳ thi tốt nghiệp THPT giai đoạn 2020 - 2024 và chuẩn bị kỳ thi từ năm 2025. Thứ trưởng Bộ GD&ĐT Phạm Ngọc Thưởng dự và chỉ đạo Hội nghị.
16:00 | 01/11/2024
Trong hai ngày 30, 31/10, tại Hà Nội, Cục Viễn thông và Cơ yếu Bộ Công an đã tổ chức Hội thi Kỹ thuật nghiệp vụ mật mã lực lượng Cơ yếu Công an nhân dân năm 2024, với sự tham gia của 136 tuyển thủ xuất sắc đại diện cho 68 cơ quan công an các đơn vị, địa phương trên toàn quốc thi đua, tranh tài.
07:00 | 01/11/2024
Google sẽ tích hợp công nghệ trí tuệ nhân tạo (AI) tiên tiến vào Android 15, tạo ra lớp phòng thủ mới giúp người dùng tránh xa nguy cơ từ các ứng dụng độc hại. Tính năng này hứa hẹn nâng cao đáng kể khả năng bảo mật trên hệ điều hành di động phổ biến nhất thế giới.
10:00 | 30/10/2024