Ngày 31/8/2017, Instagram - một ứng dụng ảnh do Facebook sở hữu, đã phát hành bản vá lỗ hổng API. Trước đó, kẻ tấn công có thể khai thác lỗ hổng này để tìm ra địa chỉ email và/hoặc số điện thoại của người dùng.
Kẻ tấn công đã khai thác lỗ hổng API để lấy cắp thông tin liên lạc của “một số” tài khoản Instagram nổi tiếng và đã không xâm phạm mật khẩu. Tuy nhiên, Instagram đã đánh giá thấp hậu quả của cuộc tấn công này. Kẻ tấn công đã lấy cắp được thông tin của 6 triệu tài khoản và rao bán trực tuyến.
Quá trình tấn công
Các nhà nghiên cứu của Kaspersky Lab đã tìm ra lỗ hổng và thông báo với Instagram. Theo họ, mặc dù quá trình tấn công tương đối đơn giản, nhưng phải mất khá nhiều thời gian và nỗ lực để thực hiện.
Theo Kaspersky Lab, kẻ tấn công đã sử dụng ứng dụng Instagram phiên bản cũ. Chúng yêu cầu đặt lại mật khẩu thông qua một trang web proxy. Tên truy cập hoặc đặc tính khác của tài khoản bị tấn công sẽ gửi đến máy chủ của Instagram. Máy chủ trả về một phản hồi JSON cùng thông tin cá nhân của nạn nhân như email và số điện thoại.
Quá trình tấn công tốn khá nhiều thời gian và công sức, vì mỗi tấn công đều phải thực hiện bằng tay do Instagram sử dụng các phép tính toán học nhằm ngăn chặn kẻ tấn công gửi yêu cầu tự động.
Thông tin người dùng bị rao bán trực tuyến
Các nhà nghiên cứu đã phát hiện ra những kẻ tấn công trên một diễn đàn ngầm. Chúng đã giao dịch thông tin đăng nhập tài khoản Instagram của những người nổi tiếng. Đó là khi các nhà nghiên cứu bắt đầu đi tìm lỗ hổng của Instagram.
Không thể biết những kẻ tấn công đã khai thác lỗ hổng này trong bao lâu. Nếu tất cả các tài khoản phải thực hiện tấn công bằng thủ công, thì có thể những kẻ tấn công đã thực hiện được một thời gian, vì chúng cho biết đã có trong tay thông tin của hơn 6 triệu tài khoản Instagram. Chúng bán những thông tin này cả trên Internet và dark web với 10 USD cho một tài khoản. Dịch vụ này được chúng đặt tên là “Doxagram”.
Công ty truyền thông The Daily Beast đã trực tiếp nhận được từ kẻ tấn công một mẫu thông tin của dữ liệu bị lấy cắp và kiểm tra mẫu này. Họ phát hiện ra rằng: một số thông tin tương ứng với thông tin được cung cấp bởi người dùng; và nhiều địa chỉ email trong danh sách mẫu không xuất hiện trên trang Tìm kiếm của Google, hoặc các cơ sở dữ liệu công cộng, có nghĩa là những thông tin này có thể được lấy từ nguồn riêng tư.
Theo The Daily Beast, một số tài khoản trong danh sách mẫu là các tài khoản của những người nổi tiếng và quan trọng. Theo báo cáo, những kẻ tấn công tự động thu thập thông tin thông qua một scraper (tự động thu thập, lọc dữ liệu trang web). Các tài khoản với hơn một triệu người theo dõi sẽ là các mục tiêu hàng đầu.
Kiểm soát thiệt hại
Instagram đã cố gắng giảm thiểu thiệt hại bằng cách mua thật nhiều tên miền Doxagram và liên tục khởi động lại Doxagram từ các tên miền khác nhau. Hiện tại, trang web đang nằm ở doxagram.su, nhưng có thể sẽ sớm thay đổi. Những kẻ tấn công cũng đã thiết lập một tài khoản Twitter để thông báo mỗi khi thay đổi của tên miền. Trong khi đó, các biến thể dark web của Doxagram sẽ rất khó để gỡ xuống.
Tài khoản của những người nổi tiếng hầu hết đã thay đổi địa chỉ email và số điện thoại. Mặc dù mật khẩu không bị xâm phạm, nhưng những người dùng đã bị thu thập thông tin nên chú ý rằng những thông tin này có thể được sử dụng để tấn công lừa đảo. Người dùng nên cập nhật ứng dụng Instagram trên thiết bị của mình lên phiên bản mới nhất (v12.0.0).
Thảo Uyên
(theo helpnetsecurity)
17:00 | 03/01/2020
15:00 | 31/03/2020
14:00 | 06/02/2020
14:00 | 23/11/2018
08:00 | 28/06/2021
13:00 | 16/09/2022
09:00 | 03/05/2024
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
14:00 | 11/04/2024
RisePro là một trình đánh cắp thông tin dưới dạng dịch vụ, được phát hiện lần đầu tiên vào năm 2022. Tuy nhiên, mới đây phần mềm độc hại này đã xuất hiện trở lại với mã hóa chuỗi mới. Các nhà nghiên cứu tới từ công ty an ninh mạng G Data CyberDefense AG (Đức) tìm thấy một số kho GitHub cung cấp phần mềm bẻ khóa được sử dụng để phân phối RisePro.
16:00 | 26/03/2024
Theo nhận định của các chuyên gia, Công ty chứng khoán VNDIRECT có thể đã bị tin tặc tấn công bằng hình thức mã độc tống tiền. Cho đến chiều 26/3, hệ thống của VNDIRECT và một số hệ thống liên quan vẫn trong trạng thái ngừng trệ hoạt động.
09:00 | 05/02/2024
Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024