Hotline: 091.919.6168

Vụ hack Reddit hé lọ lỗ hổng an ninh trong bảo mật hai lớp qua tin nhắn

Phạm Lê 02/08/2018 16:20
Vụ hack Reddit hé lọ lỗ hổng an ninh trong bảo mật hai lớp qua tin nhắn
Giải pháp bảo mật 2 lớp mà các ngân hàng hay các dịch vụ game online đang sử dụng đều không an toàn và có thể bị qua mặt dễ dàng.

Reddit, một trong những diễn đàn lớn nhất thế giới vừa công bố họ đã bị hacker xâm nhập. Nếu chỉ xem xét vấn đề hacker, nó có vẻ không quá nghiêm trọng, nhưng khi xem xét chuyện an ninh, vụ hack này tiết lộ một vấn đề đáng báo động: các giải pháp bảo mật 2 lớp thông qua tin nhắn SMS không hề an toàn.

Bảo mật 2 lớp: mật khẩu phụ được gửi qua tin nhắn không hề an toàn.

Trong bài đăng của mình, đội ngũ quản trị Reddit cho biết vụ hack diễn ra trong khoảng thời gian từ 14 đến 18/6, khi hacker xâm nhập được vào tài khoản của một số nhân viên trên các nhà cung cấp dịch vụ đám mây và mã nguồn của họ. Những gì bị lộ bao gồm một số dữ liệu nội bộ, cộng thêm địa chỉ email và mật khẩu của một số người dùng.

Tất cả những tài khoản nhân viên bị lộ đều được bảo vệ bằng hệ thống bảo mật 2 lớp qua tin nhắn, nhưng biện pháp này hoàn toàn vô dụng trong việc ngăn cản hacker.

Theo Reddit, kẻ gian đã chặn được các tin nhắn chứa mật khẩu thứ 2 và dùng nó để đăng nhập mà không bị phát hiện. “Chúng tôi biết được rằng xác minh đăng nhập qua SMS không hề an toàn như hi vọng. Chúng tôi chỉ ra điều này để khuyến khích mọi người chuyển sang sử dụng bảo mật hai lớp bằng token.”

Bài viết của Reddit về vụ việc.

Reddit không cho biết cách kẻ gian đã chặn được mật khẩu gửi qua tin nhắn như thế nào, dù cho biết điện thoại của những người có tài khoản bị hack không hề bị tấn công. Dù vậy, vẫn có khá nhiều cách phổ biến để chặn mật khẩu, chẳng hạn đánh lừa nhà cung cấp dịch vụ gửi mật khẩu đến SIM của kẻ gian (gọi là SIM-swap) hay giả danh khách hàng để yêu cầu chuyển số điện thoại sang một nhà cung cấp dịch vụ khác (port-out).

Có hai cách an toàn hơn để thay thế bảo mật hai lớp qua tin nhắn: ứng dụng và chìa khóa (token). Có khá nhiều ứng dụng như Google Authenticator hay Authy, với khả năng tạo ra một mật khẩu dùng một lần mà bạn phải nhập bên cạnh mật khẩu chính. Cách này an toàn hơn tin nhắn bởi kẻ gian cũng sẽ phải đánh cắp cả điện thoại của bạn và mở khóa nó, hoặc cài phần mềm gián điệp để chiếm quyền điều khiển máy.

Google Authenticator, một trong những ứng dụng bảo mật 2 lớp được ưa chuộng nhất.

Nếu sử dụng chìa khóa (token), bạn có thể yên tâm là tài khoản của mình hoàn toàn an toàn và việc đăng nhập chỉ đơn giản là cắm token vào máy và bấm một nút. Bạn cần mua một thiết bị có giao tiếp USB – rất nhiều công ty sản xuất loại này, chẳng hạn Yubico. Gần đây, Google cho biết 85.000 nhân viên của họ đều đang sử dụng token và chưa từng bị lừa đảo hay mất tài khoản trong hơn 1 năm qua.

FBI công bố danh sách 36 hacker khét tiếng bị truy nã toàn cầu, có kẻ bị treo giải tới 3 triệu USD


Gửi bình luận
(0) Bình luận

Samsung công bố Galaxy Tab S4, sản phẩm cao cấp với mục tiêu thay thế chiếc laptop cồng kềnh

Có màn hình 10,5 inch đi kèm bút cảm ứng, người dùng còn có thể kết nối thêm bàn phím gọn nhẹ để biến nó thành laptop có khả năng làm việc đa nhiệm.

“Căn hộ Mi” trình diễn các sản phẩm công nghệ độc đáo tại Việt Nam

Dùng công nghệ tiên tiến để giúp mọi người tận hưởng cuộc sống thoải mái hơn là những gì hệ sinh thái của Xiaomi hướng đến.

Apple đang đến rất gần giá trị nghìn tỉ USD, và chuẩn bị nước rút về đích

Có lẽ Apple sẽ trở thành kẻ chiến thắng trong cuộc đua trở thành công ty đầu tiên đạt mốc giá trị 1.000 tỉ USD.

Google ra lệnh cấm sản xuất điện thoại có từ... ba 'tai thỏ' trở lên

Google đang làm việc với các đối tác để đặt ra một số quy định cho sự tương thích của các ứng dụng.

Samsung cho biết Note 9 sẽ có giá hợp lý, đồng thời tiết lộ Galaxy S10 và Galaxy X

Để tiếp tục giữ vững vị trí dẫn đầu trong một thị trường cạnh tranh khốc liệt, Samsung phải tung ra những "ách chủ bài" mới.

Bạn đã biết cách thả biểu tượng máy bay trên Facebook chưa?

Vừa qua, Facebook vừa có một biểu tượng cảm xúc mới khiến cộng đồng mạng thích thú. Nhưng bạn có biết vì sao mình vẫn chưa thể sử dụng không?

Mạng xã hội video ngắn TikTok chạm mốc hàng trăm triệu người dùng trên toàn thế giới

Cách đây vài năm, khi mạng xã hội chưa phát triển mạnh mẽ như hiện nay, người dùng sẽ rất khó để tìm kiếm được một ứng dụng sáng tạo video cho riêng mình tích hợp nhiều tính năng dễ sử dụng. Nhưng đến thời điểm hiện tại, người dùng có nhiều lựa chọn hơn so với trước đây, nổi bật trong số đó là TikTok.

DaaS Windows mới của Microsoft sẽ cho bạn thuê chiếc máy tính của chính bạn

DaaS Windows mới của Microsoft sẽ cho họ toàn quyền vận hành máy tính của người dùng.

Nổi bật

Mới nhất