Tham dự Tech Lounge

Tham dự Tech Lounge


Rõ hơn về vụ Facebook bị hack, và bạn cần làm gì để bảo vệ tài khoản của mình

Duy Luân
28/9/2018 21:48Phản hồi: 91
Rõ hơn về vụ Facebook bị hack, và bạn cần làm gì để bảo vệ tài khoản của mình
Facebook vừa cho hay họ bị hack và số tài khoản bị ảnh hưởng có thể lên tới 50 triệu. Mình làm rõ thêm một số thông tin cho anh em hay để đỡ lo lắng cũng như thực hiện một số biện pháp để bảo vệ tài khoản của mình tốt hơn.

1. Lỗi xuất phát từ việc Facebook phát hiện 1 hacker đã khai thác lỗ hổng kĩ thuật để trộm access token của người khác. Access token của Facebook là một chuỗi nhiều kí tự, nó sinh ra để các hệ thống / web / trình duyệt giao tiếp với nhau và nó KHÔNG phải là password mà bạn dùng để đăng nhập. Mỗi người sau khi đăng nhập sẽ có một access token, và khi bạn log out rồi log in lại thì access token cũng thay đổi.

user-token-2-1.png
Facebook token nhìn giống thế này

Khi bạn dùng app Facebook trên điện thoại, server Facebook biết bạn là ai để trả thông tin cho đúng cũng là nhờ access token. Mỗi một yêu cầu (request) gửi lên server Facebook đều phải đính kèm access token để hệ thống thực hiện việc xác thực, định danh.

Access token được sử dụng rộng rãi, khắp mọi nơi, gần như app / web nào cũng dùng. Tinh tế cũng dùng, ngân hàng cũng dùng, Apple cũng dùng, Google cũng dùng. Có điều access token của mỗi công ty mỗi khác, và có một số chuẩn chung cho việc tạo ra access token như JSON Web Token (JWT) là được xài phổ biến nhất, nhưng cũng có công ty tự xài cấu trúc access token riêng.


Access token đều có thời hạn, ví dụ sau 30-45-60 ngày thì hết hạn, khi đó web / app hoặc sẽ tự đi lấy access token mới cho bạn, hoặc bắt bạn đăng nhập lại thủ công, cái này tùy thiết kế của app chứ không bắt buộc.

2. Facebook nói hacker trên đã sử dụng access token để đăng nhập vào tài khoản của 50 triệu người dùng thông qua lỗ hổng của tính năng View As. Đây thực chất là một công cụ có sẵn của Facebook cho phép bạn xem thử trang hồ sơ (profile) của mình sẽ hiển thị như thế nào khi người khác vào xem.

Nhưng đây chỉ mới là lỗ hổng đầu tiên, Facebook còn thông báo 2 lỗ hổng khác nữa, và chi tiết như sau:

1. View As, như đã đề cập ở trên, đáng ra chỉ là tính năng chuyên dùng để xem mà thôi nhưng có một hộp thoại (là cái mà bạn hay gõ vào để post status mới lên Facebook) trong View As lại cho phép đăng video và chúc bạn bè sinh nhật vui vẻ.

2. Tình cờ là tính năng upload video phiên bản mới (ra mắt vào tháng 7/2017) lại tạo ra access token có quyền truy cập app mobile của Facebook. Đáng ra nó không nên như thế.

3. Khi công cụ upload video này xuất hiện trong View As, nó tạo ra access token nhưng không phải là access token của người đang xem, thay vào đó lại tạo access token của chủ trang hồ sơ.

Kết hợp cả 3 vấn đề này lại, lỗ hổng có thể diễn giải như sau: khi bạn vào xem trang hồ sơ của @cuhiep, access token sẽ được trình upload video của Facebook tạo ra, và đây lại là access token của cuhiep chứ không phải của bạn. Access token này lại được chèn vào mã HTML của trang web nên hacker có thể trích xuất và sử dụng nó để đăng nhập vào tài khoản của người khác.

Hiện View As đã bị gỡ bỏ khỏi Facebook, và hãng nói rằng dù lỗ hổng đã được khắc phục nhưng vẫn gỡ để điều tra kĩ hơn và nhằm đảm bảo an toàn.

Quảng cáo



Việc hacker dùng access token ra sao chưa rõ, nhưng mình nghĩ là hacker đã viết ra một đoạn script (mã) để lấy thông tin của 50 triệu người dùng này chứ hắn ta chắc chắn không rảnh ngồi login / can thiệp thủ công cho từng tài khoản. Tình huống xấu nhất là mình có thể dùng cái API của Facebook + access token của bạn để rút thông tin của bạn về lưu trữ trong một nơi nào đó của riêng mình xong đem đi bán 😁

3. Ngoài 50 triệu người bị can thiệp thông qua View As, Facebook cũng logout thêm 40 triệu người khác nữa đã từng sử dụng View As cho chắc. Nếu bạn nằm trong số 50 triệu người dùng bị can thiệp, bạn sẽ thấy thông báo ở đầu News Feed khi bạn login vào lại tài khoản của mình, CÒN KHÔNG THẤY LÀ KHÔNG BỊ can thiệp ít nhất là tới thời điểm này khi Facebook chưa tìm thấy dấu hiệu nào chứng minh cho điều đó.

4. Giờ bạn nên làm gì? Có cần đổi password không?

Theo lý thuyết là không, vì mật khẩu của bạn không bị rò rỉ. Có thể thông tin cá nhân của bạn bị leak ra ngoài thông qua tính năng View As như Facebook đã kể trên, nhưng mật khẩu thì không. Mật khẩu là một trong những thứ được Facebook bảo vệ kĩ nhất.

Tuy nhiên, để cho chắc ăn thì bạn vẫn nên đổi mật khẩu đi, vì cuộc điều tra của Facebook chỉ mới ở giai đoạn đầu và chưa biết được hacker đã làm gì thêm. Nếu tài khoản Facebook của bạn dùng chung password email, tài khoản ngân hàng... thì hãy đổi mật khẩu hết những chỗ còn lại. Tốt nhất là mỗi tài khoản xài mật khẩu riêng.

Việc làm tiếp theo bạn có thể thực hiện là ngồi hóng tiếp coi có gì xảy ra nữa không, có phát hiện nào mới nữa hay không.

Quảng cáo

91 bình luận
Chia sẻ

Xu hướng

Thật sự ko ngán Facebook bị hack ( Vì mình ko xài ) . Chỉ ngán nếu Tinh tế bị hack thì mất bao công sức của mình Spam cật lực mấy năm thôi . :p
@minhthuvc Hay quá bạn, cho mình ké
@minhthuvc cứ trả lời bình thường thì bài cũng lên, cần gì spam nhỉ!?!? 😁
thuyettran89
ĐẠI BÀNG
5 năm
@minhthuvc Thánh spam
attrac06
ĐẠI BÀNG
5 năm
@minhthuvc hehe quá đúng
ctrl c
TÍCH CỰC
5 năm
Bị vài bữa rồi
Screenshot_20180929-061153_Facebook.jpg
timilac
ĐẠI BÀNG
5 năm
Trang này bán có phải chính hãng ko ae?
Screenshot_20180929-072232.png
@timilac =)))))
Lúc đầu ko muốn thấy, sợ quảng cáo.
Bây giờ lại đi lùng, tìm đúng quảng cáo đấy mới ăn ngon ngủ yên được 😁 =))))
@Duy Luân Ở trong hình có link kìa bạn dienthoaifpt.net
@xuantruong1992 Đã thấy
@Duy Luân đúng nè. Thấy hiện quảng cáo suốt khi vô tinhte.
Mình hay bật bảo vệ 2 lớp.😁
@thinh060903 Có tác dụng trong trường hợp này hả ta? :D nó lấy được tới access token rồi
Penn
TÍCH CỰC
5 năm
@Duy Luân trong trường hợp này thì đúng là không liên quan... tuy nhiên 2FA là thói quen tốt 😃
Sao fb bảo mật vậy rồi mà mấy người nổi tiếng vẫn bị hack tai khoản ta, họ bị thay đổi cả gmail, pass, giỏi thật ha😆)))
@KhoaFtb thiếu gì cách: keylogger, đoán pass, thằng đó ngu tự nói pass ra, nhiều cách lắm bạn
abtranbn
TÍCH CỰC
5 năm
@Duy Luân Thực ra cách hack dựa vào các thông tin xung quanh, các mối quan hệ, thói quen để đoán mật khẩu sẽ dễ hơn là hack trực tiếp vào cơ sở dữ liệu để lấy được mật khẩu 😁
Penn
TÍCH CỰC
5 năm
@abtranbn thường cách bạn nói mất thời gian hơn và chỉ làm được ở phạm vi nhỏ, nên hay được dùng khi bạn muốn tấn công cụ thể một ai đó, việc này chắc không nhiều hacker (cao tay) làm
thật ra thì facebook nó đang quá phổ cập, mà cái gì phổ cập thì đều bị hacker dòm ngó. Chứ như win, cr đầy đó thôi
PentiumT
TÍCH CỰC
5 năm
Duy Luân trình ngày càng cao. Bái phục!
Liệu có phải thằng hacker tuyên bố chủ nhật này hack tài khoản của Mark Zuckerburg không nhỉ, nếu đúng thì chủ nhật này bể show rồi
@Methylamine Chắc là dùng cùng phương thức hack, nhưng vụ này bể sớm quá
@Duy Luân Có khi fb phát hiện ra tài khoản của Mark bị hack rồi nên log out tất cả users ra cho đỡ ngượng mặt. Chứ chả lẽ thông báo lãnh đạo bị hack thì trẻ con nó cười cho.
locprohp
ĐẠI BÀNG
5 năm
@Methylamine huỷ kèo r
@locprohp đích thị là hắn rồi =))
Đọc như nước đổ đầu vịt, hóng cái thằng chân dài kia hack thôi 😁
Biết đâu thằng đài loan về đầu quân cho FB để chống lại những vụ thế này!
@phatkrongana Cũng có thể 😁
@Duy Luân nhiệt tình comment vậy mod 😆
Huy Hào
TÍCH CỰC
5 năm
Giở xài pass do iOS nó tạo ra cho luôn mình còn chả nhớ.
không có gì là bảo mật vĩnh viễn
Số lượng người dùng quá nhiều, số người xem đó là ngôi nhà lung linh cũng quá nhiều, làm ăn buôn bán trên đó cũng không ít.Quá béo bở chứ còn gì nữao_O
cloud2106
ĐẠI BÀNG
5 năm
Đã xóa fb cách đây 1 năm do có quá nhiều lừa đảo và toàn thánh sống ảo, bảo mật đã không còn an toàn như xưa. Bị hack sập sẽ không còn xa nữa. giờ toàn cao thủ hack ẩn danh 😕😕😕😕
@cloud2106 Sập có tí so với vng và zalo thần thánh mất cả data thì thua xa 😆)
cloud2106
ĐẠI BÀNG
5 năm
@Hunglong96 vng với zalo hạ tầng bảo trì chuyển đổi không ổn nên khi có sự cố không xử lý kịp, fb với google máy chủ rải đều nên có bị sập cũng khắc phục nhanh chóng
FB chả có gì quan trọng nên có hack dc cũng kệ, tài khoản ngân hàng thì có 2fa rồi nên k lo 😁
If you've been logged out, you will need to log back into your account to continue using Facebook or other apps you log into using Facebook. There's no need for anyone to change their passwords

Xu hướng

Bài mới









  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2024 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: Số 70 Bà Huyện Thanh Quan, P. Võ Thị Sáu, Quận 3, TPHCM
  • Số điện thoại: 02822460095
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019