Hacker rao bán lỗ hổng cho phép chiếm đoạt bất kỳ tài khoản nào trên Zalo

Mới đây, trên Raidforums tiếp tục xuất hiện một thread liên quan tới công ty lớn của Việt Nam. Cụ thể, tài khoản ilovevng đã đăng tải thông tin rao bán lỗ hổng của phần mềm Zalo thuộc công ty VinGame (VNG).

ilovevng tuyên bố rằng đang nắm trong tay một chuỗi khai thác có liên quan tới 3 - 4 lỗ hổng của Zalo. Chuỗi khai thác này có thể cho phép kẻ tấn công chiếm quyền kiểm soát bất cứ tài khoản Zalo Chat hay Zalo Pay nào bị nhắm đến.

Chia sẻ thêm về chuỗi khai thác, ilovevng tuyên bố rằng để khai thác kẻ tấn công chỉ cần lừa nạn nhân nhấp vào đường link được gửi đến qua Zalo. Tài khoản của nạn nhân sẽ bị mất ngay sau khi nhấp vào link, không cần phải có thêm bất cứ hành động nào.

ilovevng còn đảm bảo rằng sẽ chia sẻ cho người mua cách để lừa nạn nhân nhấp vào link thành công đến 99% mà không có bất cứ nghi ngờ nào. Ngoài ra, nạn nhân sẽ không nhận được cảnh báo, không có checkpoint hay bất cứ thứ gì để truy ra kẻ tấn công. Nạn nhân có thể là bất cứ ai mà kẻ tấn công nhắm đến.

Khi được yêu cầu cung cấp bằng chứng thì tài khoản ilovevng không có bất cứ phản hồi nào. Tuy nhiên, kẻ này cho biết sẽ gửi email chứng minh khả năng khai thác thành công cho những ai có thiện chí muốn mua. Sau khi thanh toán, người mua sẽ nhận được mã khai thác đầy đủ,

"Zalo là sản phẩm của VNG. VNG là một công ty tư nhân tại Việt Nam. Tôi thấy nhóm bảo mật của họ tại rất nhiều sự kiện bảo mật quốc tế và đó là lý do tại sao tôi đã thử tấn công vào Zalo", ilovevng chia sẻ.

Hiện thông tin về lỗ hổng của Zalo mà ilovevng rao bán vẫn chưa được xác thực. Phía VNG cũng chưa có bất cứ tuyên bố nào về vụ việc này.

Trước khi lỗ hổng của Zalo bị rao bán, rất nhiều dữ liệu có liên quan tới người dùng Việt và các công ty Việt Nam đã bị rao bán trên Raidforums. Gần đây nhất, dữ liệu, mã nguồn của BKAV cũng bị rao bán trên diễn đàn này.