Dropbox, Google Driver có thể bị tấn công không cần mật khẩu

09:38 | 03/09/2015 | LỖ HỔNG ATTT

Lỗ hổng bảo mật cho phép tin tặc truy cập vào nhiều dịch vụ điện toán đám mây mà không cần đánh cắp mật khẩu của người dùng.

Trong Hội thảo Black Hat tổ chức tại Las Vegas (Mỹ), hãng bảo mật Imperva đã trình bày về phương thức tấn công "man-in-the-cloud", có thể lấy các tập tin lưu trữ trên điện toán đám mây hoặc lây nhiễm các phần mềm độc hại mà người dùng không hề biết.

Dropbox, Google Driver có thể bị tấn công không cần mật khẩu

Khác với kiểu tấn công truyền thống là "man-in-the-middle", phương thức tấn công "man-in-the-cloud" khai thác lỗ hổng trong quá trình đồng bộ tập tin, có trong thiết kế của nhiều dịch vụ của các hãng Google, Box, Microsoft hay Dropbox. Đây không chỉ là vấn đề với người dùng mà còn tác động đến nhiều doanh nghiệp, khi mà dịch vụ điện toán đám mây được tăng cường áp dụng để chia sẻ các dữ liệu quan trọng.

Các cuộc tấn công MITC không dựa vào lỗ hổng trên các ứng dụng đồng bộ hay lỗ hổng an toàn trong máy chủ lưu trữ đám mây, mà dựa vào một lỗi thiết kế.

Theo thiết kế, các dịch vụ lưu trữ sẽ không yêu cầu mật khẩu mỗi lần khi có tệp tin được đồng bộ, thay vào đó, một token được sử dụng để cấp quyền cho các hoạt động này để không gián đoạn người dùng.

Khi lấy cắp mật khẩu token, tin tặc có thể bổ sung những mật khẩu token đó vào PC hoặc các script tự động của mình, sau đó truy cập và lợi dụng các tài khoản đã bị đánh cắp bằng rất nhiều cách khác nhau. Từ đó, tin tặc hoàn toàn có thể giả mạo người dùng hợp pháp để quản lý các tệp tin, thậm chí tải lên những phần mềm độc hại.

Nguy hiểm hơn, người dùng gần như không kiểm soát được và không có cách ngăn chặn cuộc tấn công này. Bởi token được gắn với thiết bị của người dùng nên việc đổi mật khẩu là vô nghĩa. Hiện tại, chưa có hãng nào phản hồi trước thông tin trên.

‹ › ×

Tin liên quan

Hãng game của Nhật Bản cảnh báo rủi ro bảo mật đám mây do cấu hình sai Google Drive

14:00 | 16/01/2024

Công ty phát triển trò chơi Android - Ateam (Nhật Bản) chứng minh rằng một lỗi cấu hình Google Drive đơn giản có thể dẫn đến nguy cơ lộ thông tin nhạy cảm trong khoảng thời gian hơn 6 năm vừa qua.

Dịch vụ chữ ký điện tử trên DropBox bị tin tặc xâm nhập đánh cắp dữ liệu

08:00 | 04/05/2024

Công ty lưu trữ đám mây DropBox cho biết tin tặc đã xâm nhập vào hệ thống nền tảng Chữ ký điện tử DropBox Sign và giành được quyền truy cập vào mã thông báo xác thực (Authentication tokens), khóa MFA, mật khẩu băm và thông tin khách hàng.

Tin cùng chuyên mục

Nhóm tin tặc Việt Nam bị nghi đánh cắp dữ liệu tài chính ở châu Á

10:00 | 24/04/2024

Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.

Gia tăng các hình thức lừa đảo trực tuyến

09:00 | 19/04/2024

Theo nhận định của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong thời gian gần đây các chiêu trò lừa đảo trực tuyến ngày càng gia tăng với các hình thức tinh vi hơn. Điều này khiến cho nhiều người dân khó nhận biết để phòng tránh nguy cơ mất an toàn thông tin.

Tin tặc phát tán phần mềm độc hại qua thiết bị USB trên các nền tảng trực tuyến

10:00 | 21/02/2024

Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.

Lỗ hổng glibc cho phép tin tặc chiếm quyền root trên các bản phân phối chính của Linux

14:00 | 19/02/2024

Tin tặc có thể giành quyền truy cập root trên nhiều bản phân phối chính của Linux trong cấu hình mặc định bằng cách khai thác lỗ hổng leo thang đặc quyền cục bộ mới được tiết lộ trong Thư viện GNU C (glibc).