Thursday, January 2, 2014

Snapchat bị tấn công, lộ 4,6 triệu tài khoản và số điện thoại do lờ cảnh báo

Snapchat, một phần mềm chat trên di động từng được Reuters đề cử là một trong những ứng dụng tốt nhất dành cho smartphone 2013, mới đây đã bị hacker tấn công.
Ảnh
Theo đó, hacker đã đột nhập và lấy đi danh sách 4,6 triệu tên đăng nhập (username) cùng với những số điện thoại của tài khoản đó. Đáng chú ý là từ nhiều tháng trước, công ty sở hữu Snapchat đã được trang Gibson Security (GibSec) cảnh báo về một lỗi bảo mật trong API có thể giúp cho các hacker dùng công cụ tìm kiếm bạn bè của phần mềm này để thu thập một lượng lớn số điện thoại cũng như tên đăng nhập của người dùng nhưng Snapchat đã không có bất kì một phản hồi nào về cảnh báo này. Sau đó vào đúng đêm Noel, GibSec đã "tặng" Snapchat một món quà Giáng Sinh bằng cách viết một bài hướng dẫn chi tiết cách khai thác lỗi API nói trên.
Đến lúc này thì Snapchat mới bắt đầu chịu phản hồi với nội dung bác đi những mối lo ngại mà GibSec đã đưa ra và nói rằng họ đã thực hiện nhiều biện pháp phòng hộ khác nhau để khiến cho lỗi API kia khó bị khai thác hơn. Tuy nhiên họ vẫn bị hack.
Và đúng vào ngày đầu tiên của năm 2014, một trang web có tên SnapchatDB.info đã đăng tải toàn bộ cơ sở dữ liệu bao gồm 4,6 triệu Username và số điện thoại người dùng của dịch vụ chat Snapchat lên website và thậm chí còn cho phép người ta tải chúng về. Mục đích của trang web này là để "biểu diễn" cho Snapchat thấy những biện pháp an ninh mà Snapchat đã thực hiện trước đó đều không có nghĩa lí gì nhiều.
Chưa dừng lại ở đó, GibSec còn phát hiện ra thêm nhiều lỗi API tiềm tàng khác và cho biết những lỗi này vẫn chưa được khắc phục trong nhiều tháng qua. Một số hacker khác nói họ còn tìm được cách lấy được cả những tấm hình và video mà người dùng gửi lên server, ngay cả khi chúng đã được thiết lập để tự xóa trong vài giây sau đó.

Nhóm hacker lên tiếng

Trang tin The Verge đã liên hệ với nhóm/cá nhân SnapchatDB nói trên và được phản hồi rằng: mục đích của hành động là để nâng cao nhận thức của cộng đồng về lỗi an ninh của Snapchat, đồng thời tạo một áp lực lớn lên chính công ty sỡ hữu nó để họ phải nhanh chóng khắc phục sự cố này. Đây là một hành động rất thường thấy trong cộng cồng các hack mũ trắng ("hacker hiền"), họ thông báo lỗi, post bài công bố dữ liệu nhạy cảm (nếu cần thiết), sau đó gỡ chúng xuống và cho "nạn nhân" thời gian để sửa chữa.
Trong trường hợp của Snapchat thì số dữ liệu nói trên đã bị công bố rộng rãi trên website SnapchatDB.info chỉ vài ngày sau khi hãng bác bỏ những lo ngại mà GibSec đã đưa ra. Nhóm hacker nói: "Chúng tôi đã điều chỉnh lại cách hack theo hướng dẫn ban đầu của Gibson Security" bởi nhiều khả năng họ đã sửa lỗi đó theo thông báo của GibSec, tuy nhiên những gì họ làm vẫn chưa đủ, nhóm hacker vẫn có thể thu thập được phần lớn dữ liệu của Snapchat mà không gặp phải những trở ngại lớn nào.
Hiện nay trang web SnapchatDB.info đã bị gỡ xuống do gặp vấn đề từ nhà cung cấp dịch vụ Hosting.
SnapchatDB cho biết mặc dù công bố danh sách dữ liệu nhạy cảm nhưng họ đã làm mờ 2 số cuối của số điện thoại. Tuy nhiên họ cho biết bất kì ai cũng có thể liên hệ với họ để có thể nhận được file cơ sở dữ liệu gốc không bị làm mờ. Nhóm này cho biết cho đến nay vẫn chưa thấy Snapchat liên lạc với họ về sự cố trên, hành động của hãng cho thấy họ không tôn trọng những gì mà trang Gibson Security đã cố gắng làm cũng như không quan tâm đúng mức tới sự việc nghiêm trọng này.
Hiện Snapchat chưa đưa ra bất cứ bình luận gì.
Nếu đang thắc mắc không biết tài khoản Snapchat của mình có bị lộ (nằm trong bảng danh sách 4,6 triệu tài khoản Snapchat vừa bị rò rỉ), bạn có thể truy cập trang web lookup.gibsonsec.org để kiểm tra.
Sau khi truy cập vào trang web này, người dùng chỉ cần nhập tên tài khoản Snapchat vào ô Username rồi nhấn vào tùy chọn. Nếu trang web phản hồi đúng số điện thoại đang sử dụng, thì chứng tỏ tài khoản của bạn hiện bị rò rỉ.
Nếu không, trang web sẽ phản hồi rằng tài khoản Snapchat của bạn vẫn an toàn.
(Trích báo Thanh Niên)
Theo Tinhte/TheWireThe Verge
Bài viết hiện đăng tải tại http://phuoctien.blogspot.com

No comments:

Post a Comment