Dropbox, Google Driver có thể bị tấn công không cần mật khẩu

09:38 | 03/09/2015 | LỖ HỔNG ATTT

Lỗ hổng bảo mật cho phép tin tặc truy cập vào nhiều dịch vụ điện toán đám mây mà không cần đánh cắp mật khẩu của người dùng.

Trong Hội thảo Black Hat tổ chức tại Las Vegas (Mỹ), hãng bảo mật Imperva đã trình bày về phương thức tấn công "man-in-the-cloud", có thể lấy các tập tin lưu trữ trên điện toán đám mây hoặc lây nhiễm các phần mềm độc hại mà người dùng không hề biết.

Dropbox, Google Driver có thể bị tấn công không cần mật khẩu

Khác với kiểu tấn công truyền thống là "man-in-the-middle", phương thức tấn công "man-in-the-cloud" khai thác lỗ hổng trong quá trình đồng bộ tập tin, có trong thiết kế của nhiều dịch vụ của các hãng Google, Box, Microsoft hay Dropbox. Đây không chỉ là vấn đề với người dùng mà còn tác động đến nhiều doanh nghiệp, khi mà dịch vụ điện toán đám mây được tăng cường áp dụng để chia sẻ các dữ liệu quan trọng.

Các cuộc tấn công MITC không dựa vào lỗ hổng trên các ứng dụng đồng bộ hay lỗ hổng an toàn trong máy chủ lưu trữ đám mây, mà dựa vào một lỗi thiết kế.

Theo thiết kế, các dịch vụ lưu trữ sẽ không yêu cầu mật khẩu mỗi lần khi có tệp tin được đồng bộ, thay vào đó, một token được sử dụng để cấp quyền cho các hoạt động này để không gián đoạn người dùng.

Khi lấy cắp mật khẩu token, tin tặc có thể bổ sung những mật khẩu token đó vào PC hoặc các script tự động của mình, sau đó truy cập và lợi dụng các tài khoản đã bị đánh cắp bằng rất nhiều cách khác nhau. Từ đó, tin tặc hoàn toàn có thể giả mạo người dùng hợp pháp để quản lý các tệp tin, thậm chí tải lên những phần mềm độc hại.

Nguy hiểm hơn, người dùng gần như không kiểm soát được và không có cách ngăn chặn cuộc tấn công này. Bởi token được gắn với thiết bị của người dùng nên việc đổi mật khẩu là vô nghĩa. Hiện tại, chưa có hãng nào phản hồi trước thông tin trên.

‹ › ×

Tin liên quan

Hãng game của Nhật Bản cảnh báo rủi ro bảo mật đám mây do cấu hình sai Google Drive

14:00 | 16/01/2024

Công ty phát triển trò chơi Android - Ateam (Nhật Bản) chứng minh rằng một lỗi cấu hình Google Drive đơn giản có thể dẫn đến nguy cơ lộ thông tin nhạy cảm trong khoảng thời gian hơn 6 năm vừa qua.

Dịch vụ chữ ký điện tử trên DropBox bị tin tặc xâm nhập đánh cắp dữ liệu

08:00 | 04/05/2024

Công ty lưu trữ đám mây DropBox cho biết tin tặc đã xâm nhập vào hệ thống nền tảng Chữ ký điện tử DropBox Sign và giành được quyền truy cập vào mã thông báo xác thực (Authentication tokens), khóa MFA, mật khẩu băm và thông tin khách hàng.

Tin cùng chuyên mục

Tấn công mạng: Hiểm họa lớn đối với các tổ chức, doanh nghiệp

08:00 | 17/04/2024

Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.

Cisco cảnh báo các cuộc tấn công password spray nhắm vào các dịch vụ VPN

16:00 | 15/04/2024

Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.

Công bố chi tiết lỗ hổng Zero-Click Shortcut mới được phát hiện gần đây của Apple

09:00 | 08/03/2024

Thông tin chi tiết về một lỗ hổng có độ nghiêm trọng mức cao trong ứng dụng Shortcut của Apple đã được công bố, trong đó lỗ hổng có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.

Tổng quan về mã độc Pegasus

07:00 | 15/01/2024

Pegasus được đánh giá là một trong những phần mềm gián điệp mạnh mẽ nhất hiện nay, chúng có các chức năng đánh cắp dữ liệu toàn diện hơn rất nhiều so với các phần mềm gián điệp khác, với khả năng thu thập thông tin mọi thứ từ dữ liệu có giá trị cao như mật khẩu, danh bạ và các dữ liệu từ các ứng dụng khác. Trong bài báo này, tác giả sẽ giới thiệu tổng quan về mã độc Pegasus và biến thể Chrysaor cùng các phương thức tấn công và cách phòng chống mã độc nguy hiểm này.