Nguy cơ lộ tài khoản từ website tích hợp tính năng đăng nhập Facebook

(PCWorldVN) Một nhà nghiên cứu bảo mật vừa tung ra công cụ mà qua đó cho phép hacker tạo ra các địa chỉ URL có thể chiếm đoạt tài khoản trên website sử dụng dịch vụ Facebook Login.

Theo PC World, công cụ mô phỏng (proof-of-concept tool) mang tên Reconnect và được tung ra hồi tuần rồi bởi chuyên gia Egor Homakov hiện làm việc tại hãng bảo mật Sakurity.

Về cơ bản, công cụ này khai thác lỗi CSRF trên Facebook Login, một dịch vụ cho phép người dùng đăng nhập vào website của bên thứ 3 bằng cách sử dụng chính tài khoản của mình.

Lỗ hổng bảo mật liên quan đến Facebook Login được xem là một mối nguy hại tiềm tàng dẫn đến các cuộc tấn công lừa đảo, trang PC World nhận định.

Cũng theo PC World, chuyên gia bảo mật Homakov từng công bố vấn đề này trên blog cá nhân từ hồi tháng 1/2015 sau khi phía Facebook từ chối sửa lỗi này bởi vì làm như thế (sửa lỗi mà Hamokov đưa ra - PV) có thể phá vỡ tính tương thích giữa trang mạng xã hội này với một lượng lớn website vốn đang sử dụng dịch vụ kết nối Facebook Login.

 

Lỗ hổng liên quan đến Facebook Login vừa được một chuyên gia bảo mật công bố kèm công cụ tấn công mô phỏng.

 

Chuyên gia Homakov viết trên trang blog cá nhân hôm thứ Năm tuần rồi rằng Facebook đã từ chối sửa lỗi mà ông đưa ra cách đây hơn 1 năm.

Với công cụ tấn công khai thác lỗ hổng trên Facebook Login vừa tung ra, chuyên gia bảo mật Homakov cho biết các cuộc tấn công sẽ xoay quanh việc tạo ra các địa chủ URL độc hại. Khi các nạn nhân nhấn vào địa chỉ URL đó, họ sẽ bị thoát ra khỏi tài khoản Facebook của mình và đăng nhập vào tài khoản giả mạo mà hacker chuẩn bị sẵn.

Đồng thời, hacker sẽ sử dụng tài khoản Facebook của người dùng để thay đổi mật khẩu, đọc tin nhắn riêng tư hay thực thi các âm mưu khác.

Trang TheHackerNews cho biết, công cụ Reconnect mà chuyên gia Homakov cung cấp mặc dù không giúp hacker "chiếm" các tài khoản Facebook của người dùng, song hacker có thể thông qua các tài khoản này để đăng nhập vào các dịch vụ như Booking.com, Bit.ly, About.me, Stumbleupon, Angel.co, Mashable và Vimeo.

Tuy nhiên, chuyên gia Homakov cũng cảnh báo nhiều website hỗ trợ tính năng Facebook Login có thể trở thành mục tiêu để hacker thai thác lỗ hổng này bằng cách thủ công chèn công cụ vào các đường link có yêu cầu người dùng thực hiện thao tác đăng nhập bằng tài khoản Facebook.

Tin cùng chuyên mục

10 trò đùa thú vị ngày cá tháng tư dành cho dân công nghệ

10 trò đùa thú vị ngày cá tháng tư dành cho dân công nghệ


'You're Playing God with the Internet!' Republican Shouts at FCC Chief

'You're Playing God with the Internet!' Republican Shouts at FCC Chief


Microsoft phát triển phiên bản Office miễn phí cho PC và máy tính bảng

Microsoft phát triển phiên bản Office miễn phí cho PC và máy tính bảng


Người dùng Facebook trước nguy cơ bị lộ thư viện ảnh cá nhân

Người dùng Facebook trước nguy cơ bị lộ thư viện ảnh cá nhân


Cách tắt mở flash linh hoạt khi lướt web trên Firefox và Chrome

Cách tắt mở flash linh hoạt khi lướt web trên Firefox và Chrome



Windows lậu sau khi nâng cấp lên Windows 10 thì vẫn là Windows lậu

Windows lậu sau khi nâng cấp lên Windows 10 thì vẫn là Windows lậu


15 ứng dụng nguồn mở sáng giá cho Microsoft Windows

15 ứng dụng nguồn mở sáng giá cho Microsoft Windows


Microsoft có kế hoạch biến smartphone Android thành Windows 10

Microsoft có kế hoạch biến smartphone Android thành Windows 10


Windows 10 sẽ được phát hành trong dịp Hè 2015

Windows 10 sẽ được phát hành trong dịp Hè 2015


Microsoft sẽ để Internet Explorer 'chết' dần

Microsoft sẽ để Internet Explorer 'chết' dần


Windows 10 cho phép tải bản cập nhật từ nhiều nguồn

Windows 10 cho phép tải bản cập nhật từ nhiều nguồn


Mã độc mã hoá dữ liệu & tống tiền

Mã độc mã hoá dữ liệu & tống tiền


Gỡ bỏ tận gốc OneDrive trên Windows 8

Gỡ bỏ tận gốc OneDrive trên Windows 8


Hàng trăm triệu máy tính Windows có nguy cơ dính lỗ hổng bảo mật Freak

Hàng trăm triệu máy tính Windows có nguy cơ dính lỗ hổng bảo mật Freak