Theo thông tin từ Security Week, một chuyên gia an ninh mạng đến từ Nepal có tên là Samip Aryal đã phát hiện một lỗ hổng bảo mật nghiêm trọng trên Facebook, cho phép tin tặc chiếm quyền tài khoản người dùng mà không cần sự can thiệp từ phía họ. Samip Aryal hiện đang dẫn đầu trong danh sách chương trình tìm lỗi và nhận thưởng từ Facebook cho năm 2024.
Lỗ hổng này liên quan đến tính năng đặt lại mật khẩu trên Facebook. Khi người dùng yêu cầu đặt lại mật khẩu, hệ thống sẽ gửi một mã xác thực bao gồm 6 chữ số đến một thiết bị mà họ đã đăng nhập hoặc đăng ký trước đó. Tuy nhiên, theo phát hiện của Aryal, mã xác thực này là cố định và không thay đổi trong vòng 2 giờ, đồng thời hệ thống cũng không có biện pháp bảo mật để ngăn chặn các hình thức tấn công brute-force (dò mật khẩu).
Điều này có nghĩa là kẻ xấu có thể thử các mã xác thực khác nhau không giới hạn trong vòng 2 giờ mà không bị chặn. Kẻ tấn công có thể tận dụng thời gian này để tìm kiếm mật khẩu và chiếm quyền tài khoản của người bị hại. Đây được coi là một loại tấn công 0-click, tức là tin tặc có thể thực hiện hành vi tấn công mà không cần sự can thiệp từ phía nạn nhân.
Theo nhà nghiên cứu, ông đã thông báo về lỗ hổng cho Meta vào ngày 30/1 và vấn đề đã được sửa vào ngày 2/2. Tuy nhiên, công ty chỉ công bố rộng rãi vào ngày 3/3 do quy định về an ninh.
Khi điểm yếu này bị tận dụng, Facebook sẽ thông báo về việc khôi phục mật khẩu cho người bị ảnh hưởng. Vì vậy, nếu bạn nhận được thông báo này, hãy cẩn thận với tài khoản của mình vì có khả năng tài khoản đang bị tấn công.
Để bảo vệ tài khoản Facebook, người dùng nên:
- Sử dụng mật khẩu mạnh và thay đổi thường xuyên.
- Bật xác thực hai yếu tố (2FA).
- Cẩn thận với các email và tin nhắn lạ.
Hãy tránh mở các liên kết hoặc tệp đính kèm có vẻ không an toàn.
Hãy thường xuyên cập nhật Windows, trình duyệt và phần mềm chống virus.
Lỗ hổng bảo mật này là một bài học quan trọng cho Facebook và các công ty công nghệ khác về tầm quan trọng của việc bảo vệ dữ liệu người dùng. Đồng thời, người dùng cũng cần tăng cường nhận thức về bảo mật để tránh bị tấn công từ các tin tặc.
