Gần đây, Uber đang gặp nhiều vấn đề về bảo mật và an toàn thông tin. Chỉ hai tháng sau khi Uber thừa nhận đã che giấu sự cố rò rỉ thông tin nhạy cảm của 57 triệu khách hàng và tài xế, một lỗ hổng cho phép tin tặc vượt qua xác thực hai yếu tố (2FA) lại mới được phát hiện.
Nhà nghiên cứu Karan Saini giải thích rằng, khi đăng nhập có 2FA với địa chỉ thư điện tử và mật khẩu, bất kỳ ai cũng có thể vượt qua 2FA bằng cách chuyển sang tên miền phụ “help” của Uber tại cùng phiên trình duyệt, khi nhập lại địa chỉ thư điện tử và mật khẩu thì sẽ đăng nhập được mà không phải nhập mã 2FA.
Ông Rob Fletcher, Quản lý An ninh Uber đã trả lời với nhà nghiên cứu rằng, lỗ hổng này “đã được lường trước”.
Theo hãng tin tức ZDNet, nhà nghiên cứu cũng báo cáo lỗ hổng cho tổ chức HackerOne (Hoa Kỳ) để tham gia chương trình bug bounty (nhận tiền thưởng khi phát hiện lỗ hổng bảo mật), nhưng đã bị từ chối và chỉ được đánh giá đây là một thông tin bổ ích.
John Gunn, Giám đốc tiếp thị của hãng bảo mật thông tin VASCO Data Security cho biết, việc dễ dàng vượt qua xác thực hai yếu tố không thể là sự cố “đã được lường trước”, đây là lỗ hổng thực sự nghiêm trọng. Theo ông, nếu Uber không đánh giá việc bảo vệ an ninh cơ bản là nghiêm trọng, thì không biết điều gì mới được xem xét là nghiêm trọng. 2FA là phương thức bảo mật an toàn nếu được triển khai đúng và đây là điều có thể dễ dàng thực hiện.
Trong khi đó, theo Craig Young, nhà nghiên cứu an ninh máy tính của công ty phần mềm bảo mật Tripwire (Hoa Kỳ), 2FA là một phương thức kiểm soát an ninh quan trọng. Ông giải thích rằng, phản hồi của Uber có nghĩa là họ đang nghiên cứu để quyết định thời điểm xác minh mã SMS, và người dùng sẽ có thể không cần nhận mã 2FA mỗi lần đăng nhập. Nếu không biết chi tiết cụ thể của kỹ thuật này, thì không thể đánh giá rằng đây có phải là một lỗ hổng chính đáng hay không. Ông cho rằng những chi tiết từ báo cáo là công khai và phản ứng của Uber ít nhiều thích hợp với phạm vi chương trình tiền thưởng của họ.
Thảo Uyên
Theo SC và ZDNet
16:00 | 22/05/2021
08:00 | 22/09/2022
09:00 | 21/08/2018
15:00 | 03/09/2023
Với sự phát triển mạnh mẽ của Blockchain, công nghệ hợp đồng thông minh (Smart Contract) đã và đang được triển khai một cách rộng rãi. Tuy nhiên, việc đảm bảo tính chính xác và an toàn của công nghệ này là một thách thức vô cùng lớn đối với các nhà phát triển, bởi một khi lỗ hổng hợp đồng thông minh bị khai thác, nó có thể gây ra hậu quả nghiêm trọng về kinh tế đối với các tổ chức, cá nhân. Bài viết sẽ trình bày về một kỹ thuật phát hiện một số loại lỗ hổng phổ biến của hợp đồng thông minh trên nền tảng Ethereum dựa trên kỹ thuật Thực thi tượng trưng (Symbolic Execution).
11:00 | 19/04/2023
Hàng loạt điện thoại Android được phát hiện đang tồn tại nhiều lỗ hổng bảo mật nghiêm trọng, cho phép tin tặc dễ dàng xâm nhập vào các thiết bị này.
11:00 | 29/03/2023
Một lỗ hổng bảo mật nghiêm trọng có tên “Acropalypse” vừa được phát hiện ảnh hưởng đến công cụ Windows Snipping Tool, cho phép khôi phục một phần nội dung hình ảnh đã được chỉnh sửa.
11:00 | 17/06/2022
Đầu tháng 6, nhóm chuyên gia an ninh mạng thuộc hãng bảo mật CheckPoint (Israel) phát hiện một lỗ hổng bảo mật nguy hiểm trên chip của hãng UNISOC, có khả năng làm gián đoạn liên lạc vô tuyến của điện thoại thông minh thông qua việc gửi một gói tin sai định dạng.
Trên trang web của RansomHub, nhóm tin tặc tống tiền này đã công bố một số dữ liệu đã đánh cắp từ công ty con Change Healthcare của United Health. Đây là hành động nhằm mục đích yêu cầu công ty chăm sóc sức khỏe của Hoa Kỳ phải đáp ứng những điều khoản trong thỏa thuận tống tiền của tin tặc.
12:00 | 06/05/2024