Black Hat “bật mí” hàng loạt lỗi bảo mật MySpace

Mới đây tại diễn đàn Black Hat và Defcon, hacker đưa ra trình diễn một loạt các lỗ hổng bảo mật trong các website mạng xã hội có thể giúp họ lấy trộm thông tin cá nhân nhạy cảm của người dùng.

Đây là một minh chứng rõ ràng cho thấy mặt trái của sự bùng nổ các website mạng xã hội. Giờ đây đột nhập vào những website được bảo vệ bằng mật khẩu như MySpace.com đã trở thành một lĩnh vực nghiên cứu đầy hấp dẫn đối với không chỉ các chuyên gia nghiên cứu bảo mật mà cả những người đam mê công nghệ.

Rick Deacon - một nhà quản trị hệ thống năm nay mới 21 tuổi đến từ Beachwood, bang Ohio, Mỹ - tuyên bố phát hiện một lỗ hổng “zero-day” trên trang MySpace.com. Hacker có thể lợi dụng lỗi bảo mật này để chiếm quyền điều khiển hoặc chèn thêm mã độc vào các website cá nhân được tạo ra trên MySapce.com.

Thực chất đây là một lỗi bảo mật XSS (cross-site scripting) – một lỗi rất thường gặp trong các ứng dụng web ngày nay. Lỗi này có thể bị lợi dụng để chèn thêm các mã vào trong website mục tiêu. Lỗi bảo mật này chỉ có thể bị tấn nếu người dùng sử dụng phiên bản cũ trình duyệt mã nguồn mở Firefox. Internet Explorer hoàn toàn vô hại.

Để khai thác thành công lỗi bảo mật này hacker phải lừa được người dùng nhắp chuột vào một đường liên kết đến một website độc hại có “cấy” sẵn các mã lỗi giúp chúng ăn cắp “cookie” trình duyệt của người dùng.

Hiện lỗi bảo mật MySpace được phát hiện bởi Deacon vẫn chưa được xác nhận đầy đủ. Tuy nhiên, các chuyên gia bảo mật cho biết lỗ hổng bảo mật nói trên là một dạng lỗi rất thường gặp đặt biệt là trên các website mạng xã hội ảo có hàng triệu bài viết được người dùng đẩy lên mỗi ngày.

Deacon cho biết lỗi bảo mật nói trên là thành quả của sự hợp tác giữa anh và một số nhà nghiên cứu khác. MySpace đã được thông báo cụ thể về lỗi này nhưng đến nay website vẫn chưa cho khắc phục.

Người phát ngôn của MySpace từ chối bình luận về tiết lộ mới của Deacon đồng thời nhấn mạnh trách nhiệm của MySpace là phản ứng nhanh với mọi tình huống để bảo vệ an toàn cho người dùng.

Cùng lúc đó Robert Graham – Giám đốc điều hành hãng bảo mật Errata Security – cho trình diễn một chương trình có thể cho phép hacker đột nhập vào máy tính của người dùng thông qua các mạng không dây công cộng miễn phí để ăn cắp “cookie”, tài khoản email và website cá nhân của họ trên các trang mạng xã hội.

Trong bài trình diễn trước Black Hat Graham đã chiếm đoạt thành công một tài khoản Gmail của một thành viên tham dự diễn đàn. Chuyên gia này cho biết mục tiêu chương trình của ông là để minh chứng cho thấy những lỗi bảo mật nguy hiểm trong các kết nối không dây công cộng.

Google từ chối bình luận về thông tin nói trên đồng thời cho biết hãng đang tiếp tục tăng cường khả năng mã hoá tự động cho Gmail.

Hoàng Dũng