Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Lỗ hổng Twitter cho phép kẻ xấu đăng bài bằng tài khoản người khác
Chuyên gia an ninh mạng người Anh vừa phát hiện lỗ hổng nghiêm trọng trên Twitter, cho phép người bất kỳ gửi đi các tweet, tin nhắn, đăng ảnh, video, thậm chí tắt các tính năng an ninh trên tài khoản của người khác.
Richard De Vere đến từ The Antisocial Engineering cho biết, ông phát hiện cách thức khai thác lỗ hổng chỉ trong vài phút.
“Đây không phải cuộc tấn công phức tạp, mà bắt nguồn từ lỗi logic trong code”.
Lỗ hổng ảnh hưởng tới các tài khoản có số điện thoại liên kết. Biết số điện thoại của người dùng, kẻ xấu có thể đăng tweet, gửi, chuyển tiếp tin nhắn, hoặc đăng hình ảnh và video. Theo De Vere, kẻ xấu thậm chí có thể tắt tính năng xác thực hai bước trên Twitter. Điều đó có nghĩa, nếu biết thông tin đăng nhập và mật khẩu người dùng, kẻ xấu có thể kiểm soát hoàn toàn tài khoản.
De Vere đã thông báo chi tiết lỗ hổng cho HackerOne - công ty tổ chức chương trình trao thưởng lỗi trên Twitter. Chuyên gia cho biết, ông không có ý định săn thưởng nhưng đây là cách duy nhất để thông báo cho họ biết về lỗ hổng.
De Vere cho rằng một số hacker có thể đã biết về lỗ hổng và khai thác trong chiến dịch scam đào tiền ảo.
Ed Tucker, Giám đốc điều hành của công ty tư vấn an ninh Byte, đồng thời là cựu giám đốc an ninh CNTT tại HM Revenue & Customs đánh giá đây là lỗ hổng nghiêm trọng.
“Hãy tưởng tượng, bạn sử dụng 10.000 số điện thoại liên kết với Twiter và viết một đoạn tweet gì đó, có thể để lừa đảo bitcoin, hoặc thông tin giả mạo. Sau đó, hàng nghìn tài khoản kia sẽ tweet cùng một nội dung”.
De Vere cho biết, ông tin rằng Twitter sẽ sớm khắc phục lỗ hổng.
Chuyên gia khuyến cáo, người dùng nên xóa bỏ số điện thoại liên kết với Twitter để tránh bị ảnh hưởng bởi lỗ hổng.
Trước đây, hacker từng thu về hàng ngàn USD từ các vụ scam tiền ảo thông qua giả danh Elon Musk và nhiều người nổi tiếng khác để thực hiện chiến dịch lừa đảo trên Twitter.
Richard De Vere đến từ The Antisocial Engineering cho biết, ông phát hiện cách thức khai thác lỗ hổng chỉ trong vài phút.
“Đây không phải cuộc tấn công phức tạp, mà bắt nguồn từ lỗi logic trong code”.
Lỗ hổng ảnh hưởng tới các tài khoản có số điện thoại liên kết. Biết số điện thoại của người dùng, kẻ xấu có thể đăng tweet, gửi, chuyển tiếp tin nhắn, hoặc đăng hình ảnh và video. Theo De Vere, kẻ xấu thậm chí có thể tắt tính năng xác thực hai bước trên Twitter. Điều đó có nghĩa, nếu biết thông tin đăng nhập và mật khẩu người dùng, kẻ xấu có thể kiểm soát hoàn toàn tài khoản.
Chuyên gia demo tấn công với tài khoản Twitter của Computer Weekly.
De Vere đã thông báo chi tiết lỗ hổng cho HackerOne - công ty tổ chức chương trình trao thưởng lỗi trên Twitter. Chuyên gia cho biết, ông không có ý định săn thưởng nhưng đây là cách duy nhất để thông báo cho họ biết về lỗ hổng.
De Vere cho rằng một số hacker có thể đã biết về lỗ hổng và khai thác trong chiến dịch scam đào tiền ảo.
Ed Tucker, Giám đốc điều hành của công ty tư vấn an ninh Byte, đồng thời là cựu giám đốc an ninh CNTT tại HM Revenue & Customs đánh giá đây là lỗ hổng nghiêm trọng.
“Hãy tưởng tượng, bạn sử dụng 10.000 số điện thoại liên kết với Twiter và viết một đoạn tweet gì đó, có thể để lừa đảo bitcoin, hoặc thông tin giả mạo. Sau đó, hàng nghìn tài khoản kia sẽ tweet cùng một nội dung”.
De Vere cho biết, ông tin rằng Twitter sẽ sớm khắc phục lỗ hổng.
Chuyên gia khuyến cáo, người dùng nên xóa bỏ số điện thoại liên kết với Twitter để tránh bị ảnh hưởng bởi lỗ hổng.
Trước đây, hacker từng thu về hàng ngàn USD từ các vụ scam tiền ảo thông qua giả danh Elon Musk và nhiều người nổi tiếng khác để thực hiện chiến dịch lừa đảo trên Twitter.
Theo Computer Weekly