Theo Security Week, một chuyên gia an ninh mạng đến từ Nepal có tên Samip Aryal mới đây đã tiết lộ về một lỗ hổng bảo mật nghiêm trọng trên Facebook, nó cho phép tin tặc chiếm quyền tài khoản người dùng mà không cần lợi dụng bất cứ thao tác nào từ họ. Được biết, Samip Aryal hiện đang đứng đầu danh sách chương trình tìm lỗi săn tiền thưởng của Facebook cho năm 2024.
Lỗ hổng này liên quan đến tính năng đặt lại mật khẩu của Facebook. Khi người dùng chọn đặt lại mật khẩu, Facebook sẽ gửi một mã xác thực gồm 6 chữ số đến một thiết bị khác do họ đăng nhập hoặc đăng ký trước. Tuy nhiên, theo phát hiện của Aryal, mã xác thực này là cố định và không thay đổi trong vòng 2 giờ, đồng thời hệ thống cũng không có biện pháp bảo mật để ngăn chặn các hình thức tấn công brute-force (dò tìm mật khẩu).
Điều này đồng nghĩa với việc kẻ gian có thể thử các mã xác thực khác nhau vô số lần trong vòng 2 giờ mà không bị chặn. Kẻ tấn công có thể sử dụng thời gian này để dò mật khẩu và chiếm quyền tài khoản của nạn nhân. Đây được xem là một kiểu tấn công 0-click, nghĩa là tin tặc có thể thực hiện hành vi tấn công mà không cần bất kỳ thao tác nào từ phía nạn nhân.
Nhà nghiên cứu cho biết ông đã báo cáo lỗ hổng cho Meta vào ngày 30/1 và vấn đề đã được khắc phục vào ngày 2/2, nhưng công ty chỉ mới thông báo rộng rãi vào ngày 3/3 do quy định an ninh.
Khi lỗ hổng này bị khai thác, Facebook sẽ gửi thông báo về việc khôi phục mật khẩu cho nạn nhân. Do đó, nếu bạn nhận được thông báo này, hãy cẩn thận tài khoản vì rất có thể tài khoản đang bị tấn công.
Để bảo vệ tài khoản Facebook, người dùng nên:
- Sử dụng mật khẩu mạnh và thay đổi thường xuyên.
- Bật xác thực hai yếu tố (2FA).
- Cẩn thận với các email và tin nhắn lạ.
- Tránh truy cập các liên kết hoặc tệp đính kèm nghi ngờ.
- Cập nhật Windows, trình duyệt và chương trình chống virus thường xuyên.
Lỗ hổng bảo mật này là một lời cảnh tỉnh cho Facebook và các công ty công nghệ khác về tầm quan trọng của việc bảo vệ dữ liệu người dùng. Ngoài ra, người dùng cũng cần nâng cao ý thức bảo mật để tránh bị tấn công bởi tin tặc.