Ngày 31/8/2017, Instagram - một ứng dụng ảnh do Facebook sở hữu, đã phát hành bản vá lỗ hổng API. Trước đó, kẻ tấn công có thể khai thác lỗ hổng này để tìm ra địa chỉ email và/hoặc số điện thoại của người dùng.
Kẻ tấn công đã khai thác lỗ hổng API để lấy cắp thông tin liên lạc của “một số” tài khoản Instagram nổi tiếng và đã không xâm phạm mật khẩu. Tuy nhiên, Instagram đã đánh giá thấp hậu quả của cuộc tấn công này. Kẻ tấn công đã lấy cắp được thông tin của 6 triệu tài khoản và rao bán trực tuyến.
Quá trình tấn công
Các nhà nghiên cứu của Kaspersky Lab đã tìm ra lỗ hổng và thông báo với Instagram. Theo họ, mặc dù quá trình tấn công tương đối đơn giản, nhưng phải mất khá nhiều thời gian và nỗ lực để thực hiện.
Theo Kaspersky Lab, kẻ tấn công đã sử dụng ứng dụng Instagram phiên bản cũ. Chúng yêu cầu đặt lại mật khẩu thông qua một trang web proxy. Tên truy cập hoặc đặc tính khác của tài khoản bị tấn công sẽ gửi đến máy chủ của Instagram. Máy chủ trả về một phản hồi JSON cùng thông tin cá nhân của nạn nhân như email và số điện thoại.
Quá trình tấn công tốn khá nhiều thời gian và công sức, vì mỗi tấn công đều phải thực hiện bằng tay do Instagram sử dụng các phép tính toán học nhằm ngăn chặn kẻ tấn công gửi yêu cầu tự động.
Thông tin người dùng bị rao bán trực tuyến
Các nhà nghiên cứu đã phát hiện ra những kẻ tấn công trên một diễn đàn ngầm. Chúng đã giao dịch thông tin đăng nhập tài khoản Instagram của những người nổi tiếng. Đó là khi các nhà nghiên cứu bắt đầu đi tìm lỗ hổng của Instagram.
Không thể biết những kẻ tấn công đã khai thác lỗ hổng này trong bao lâu. Nếu tất cả các tài khoản phải thực hiện tấn công bằng thủ công, thì có thể những kẻ tấn công đã thực hiện được một thời gian, vì chúng cho biết đã có trong tay thông tin của hơn 6 triệu tài khoản Instagram. Chúng bán những thông tin này cả trên Internet và dark web với 10 USD cho một tài khoản. Dịch vụ này được chúng đặt tên là “Doxagram”.
Công ty truyền thông The Daily Beast đã trực tiếp nhận được từ kẻ tấn công một mẫu thông tin của dữ liệu bị lấy cắp và kiểm tra mẫu này. Họ phát hiện ra rằng: một số thông tin tương ứng với thông tin được cung cấp bởi người dùng; và nhiều địa chỉ email trong danh sách mẫu không xuất hiện trên trang Tìm kiếm của Google, hoặc các cơ sở dữ liệu công cộng, có nghĩa là những thông tin này có thể được lấy từ nguồn riêng tư.
Theo The Daily Beast, một số tài khoản trong danh sách mẫu là các tài khoản của những người nổi tiếng và quan trọng. Theo báo cáo, những kẻ tấn công tự động thu thập thông tin thông qua một scraper (tự động thu thập, lọc dữ liệu trang web). Các tài khoản với hơn một triệu người theo dõi sẽ là các mục tiêu hàng đầu.
Kiểm soát thiệt hại
Instagram đã cố gắng giảm thiểu thiệt hại bằng cách mua thật nhiều tên miền Doxagram và liên tục khởi động lại Doxagram từ các tên miền khác nhau. Hiện tại, trang web đang nằm ở doxagram.su, nhưng có thể sẽ sớm thay đổi. Những kẻ tấn công cũng đã thiết lập một tài khoản Twitter để thông báo mỗi khi thay đổi của tên miền. Trong khi đó, các biến thể dark web của Doxagram sẽ rất khó để gỡ xuống.
Tài khoản của những người nổi tiếng hầu hết đã thay đổi địa chỉ email và số điện thoại. Mặc dù mật khẩu không bị xâm phạm, nhưng những người dùng đã bị thu thập thông tin nên chú ý rằng những thông tin này có thể được sử dụng để tấn công lừa đảo. Người dùng nên cập nhật ứng dụng Instagram trên thiết bị của mình lên phiên bản mới nhất (v12.0.0).
Thảo Uyên
(theo helpnetsecurity)
17:00 | 03/01/2020
15:00 | 31/03/2020
14:00 | 06/02/2020
14:00 | 23/11/2018
08:00 | 28/06/2021
13:00 | 16/09/2022
08:00 | 04/04/2024
Các nhà nghiên cứu bảo mật phát hiện ra plugin của bên thứ ba hiện có dành cho ChatGPT có thể hoạt động như một bề mặt tấn công mới để truy cập trái phép vào dữ liệu nhạy cảm.
09:00 | 01/04/2024
Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).
10:00 | 28/03/2024
Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.
16:00 | 15/03/2024
Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024