Hotmail, Gmail mắc lỗi tương tự Yahoo

Yahoo mail không phải là dịch vụ thư điện tử trên web duy nhất có thể bị tấn công bằng phương pháp mà hacker đã sử dụng để ăn cắp tài khoản email của ứng cử viên Phó tổng thống Mỹ Đảng cộng hòa Sarah Palin. Cả Hotmail và Gmail cũng đều mắc lỗi tương tự.

Thử nghiệm của Computerworld cho thấy Gmail, Windows Live Hotmail và Yahoo Mail đều sử dụng chung một cơ chế xóa mật khẩu tự động (automated password-reset machenism). Bất kỳ đối tượng nào có trong tay tên đăng nhập và đáp án câu hỏi bảo mật (security question) đều có thể dễ dàng qua mặt cơ chế đó, thay đổi mật khẩu và đoạt quyền truy cập vào tài khoản email của người dùng.

Chỉ cần bỏ chút thời gian tìm kiếm trên các website mạng xã hội ảo hoặc Internet là hacker đã có thể tìm được vô số thông tin cá nhân liên quan đến người dùng giúp chúng dễ dàng đoán ra được đáp án của câu hỏi bảo mật.

Phương pháp này được hacker tấn công tài khoản email của bà Palin đặt cho cái tên là “rubico”. Hacker này tuyên bố chỉ mất 45 phút tìm kiếm trên mạng là anh ta đã có được đáp án cho câu hỏi bảo mật trong tài khoản email của bà Palin.

Nắm trong tay tên đăng nhập và đáp án câu hỏi bảo mật, hacker sẽ chỉ cần thêm ký tự “@”, phần tên miền mở rộng “yahoo.com, hotmail.com hoặc gmail.com”, nhập đúng ký tự “CAPTCHA” và trả lời đúng câu hỏi bảo mật là chúng đã có thể thay đổi mật khẩu tài khoản email của người dùng.

Đáng chú ý cả ba dịch vụ thư điện tử của Yahoo, Microsoft và Google đều không yêu cầu mật khẩu mới phải được gửi tới địa chỉ email thay thế (alternate email) được người dùng khai báo trong hồ sơ tài khoản email trước đây mà thay vào đó là một quy trình thay đổi trực tuyến, tạo điều kiện thuận lợi cho hacker có thể thoải mái hơn trong việc xóa bỏ mật khẩu tài khoản email của người dùng.