Lỗ hổng được tiết lộ bởi nhà nghiên cứu Samip Aryal theo chương trình Bug Bounty của Facebook năm 2024.
Theo Aryal, lỗ hổng xảy ra trong quá trình đặt lại mật khẩu Facebook, đặc biệt là tùy chọn mã xác thực duy nhất 6 chữ số được gửi đến một thiết bị khác mà người dùng đăng nhập. Mã này được cung cấp để xác minh danh tính người dùng và hoàn tất tiến trình đặt lại mật khẩu.
Phân tích truy vấn được gửi bởi trình duyệt khi tùy chọn đặt lại mật khẩu được dùng cho thấy mã duy nhất đã được kích hoạt trong khoảng 2 giờ và không có biện pháp bảo vệ trước kiểu tấn công brute-force.
Kẻ tấn công chỉ cần biết tên người dùng mục tiêu từ đó sử dụng công cụ kiểm thử thâm nhập như Burp Suite để thực hiện brute-force mã 6 chữ số, từ đó cho phép chúng đặt lại mật khẩu tài khoản mục tiêu hoặc đơn giản là truy cập vào tài khoản đó.
Khi lỗ hổng bị khai thác, người dùng mục tiêu nhận được thông báo từ Facebook. Thông báo này một là trực tiếp gửi mã xác thực gồm 6 chữ số, hoặc hai là yêu cầu người dùng nhấn vào thông báo để xem mã. Ở tùy chọn thứ 2 sẽ biến thành mã khai thác one-click (một lần nhấp) thay vì khai thác zero-click.
Lỗ hổng đã được báo cáo cho Facebook vào ngày 30/01 và được vá vào ngày 02/02.
Chương trình Bug Bounty của Facebook sẽ thưởng khoảng 5.000 USD đến 130.000 USD cho người báo cáo lỗ khổng chiếm quyền tài khoản này tùy theo mức độ.
Thanh Bình
(Nguồn securityweek)
07:00 | 15/01/2024
10:00 | 22/03/2024
10:00 | 28/03/2024
15:00 | 03/09/2023
10:00 | 13/12/2023
09:00 | 28/02/2024
11:00 | 26/04/2024
Apple đang đàm phán để sử dụng công cụ Gemini AI của Google trên iPhone, tạo tiền đề cho một thỏa thuận mang tính đột phá trong ngành công nghiệp AI.
13:00 | 23/01/2024
Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) bổ sung vào danh mục Các lỗ hổng bị khai thác đã biết (KEV) sáu lỗ hổng ảnh hưởng đến các sản phẩm của Apple, Adobe, Apache, D-Link và Joomla.
09:00 | 08/12/2023
Trong tháng 11, Microsoft, Linux và VMWare lần lượt phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.
18:00 | 22/09/2023
Mới đây, Google vừa phát hành phiên bản Chrome 117 để kỷ niệm 15 năm ra mắt của trình duyệt này. Trong bản cập nhật này, Google đã bổ sung thêm nhiều tính năng mới cũng như áp dụng ngôn ngữ Material You để trình duyệt Chrome tiện lợi và dễ sử dụng hơn.
Oracle dự kiến sẽ đầu tư 1.200 tỷ Yen (khoảng 8 tỷ USD) trong 10 năm, bắt đầu từ năm nay, để mở rộng các trung tâm dữ liệu của mình tại Nhật Bản. Thông báo này được hãng đưa ra vào ngày 18/4 vừa qua, cơ sở chủ yếu ở hai khu vực mà Oracle hiện đang vận hành các trung tâm dữ liệu là Tokyo và Osaka.
10:00 | 26/04/2024