Hacker tiết lộ cách hack tài khoản Facebook

RESEARCH CREW
22:13 15/06/2018

Hack tài khoản Facebook là một trong những tìm kiếm phổ biến nhất trên Internet hiện nay. Rất khó có thể thực hiện thành công, nhưng một người dùng Facebook đã làm được điều đó.

Một nhà nghiên cứu bảo mật (Prakash) đến từ Ấn Độ đã phát hiện một lỗ hổng đơn giản trong mạng xã hội Facebook cho phép ông hack vào bất cứ tài khoản Facebook nào nhằm xem nội dung tin nhắn, đăng tải mọi thứ, xem thông tin thanh toán và làm bất cứ điều gì mà chủ tài khoản thực có thể làm.

Lỗ hổng này nằm trong chức năng Password Reset, chức năng này cho phép tin tặc thực hiện tấn công vét cạn mã khôi phục mật khẩu 6 số và reset thành công mật khẩu tài khoản. Lỗ hổng này chỉ nằm trong một domain beta (tên miền phụ) của Facebook để xử lý yêu cầu ‘Quên mật khẩu‘. Theo đó, Facebook cho phép người dùng thay đổi mật khẩu tài khoản thông qua thủ tục Password Reset bằng cách xác nhận một mã 6 số nhận được trong email hoặc tin nhắn sms. Để đảm bảo tính an toàn, người dùng sẽ chỉ được nhập 12 lần mã số (giới hạn nhập mã xác nhận).

Tuy nhiên, Prakash đã phát hiện ra Facebook không cài đặt giới hạn nhập mã xác nhận trên domain beta của mình là beta.facebook.com và mbasic.beta.facebook.comÔng có thể tấn công để hack tài khoản facebook bằng cách vét cạn mã 6 số mà không gặp bất kì trở ngại nào.

Video minh họa hack tài khoản facebook

Theo giải thích của Prakash, request POST có thể khai thác trong domain beta này đơn giản là:

lsd=AVoywo13&n=XXXXX

Sau khi tìm ra mã xác nhận, Prakash có thể thiết đặt mật khẩu mới và hack tài khoản facebook của bất kỳ ai để toàn quyền kiểm soát tài khoản. Prakash đã tìm ra lỗ hổng vào tháng 2/2018 và báo cho Facebook. Ông được Facebook trao thưởng 15,000 USD cho phát hiện này của mình.

Chắc chắn còn nhiều lỗ hổng bảo mật của Facebook mà chúng ta chưa biết hết được, hoặc nó chưa được phát hiện. Hãy theo dõi và phát hiện sớm nhất khả năng bị hack thông qua email, mobile app. Sử dụng các biện pháp bảo mật nâng cao, đăng tải hình ảnh đại diện có chứa khuôn mặt của mình (phục vụ cho việc lấy lại qua CMND hoặc Hộ Chiếu).