Hacker tiết lộ cách hack bất kì tài khoản Facebook nào

Hack tài khoản Facebook là một trong những tìm kiếm phổ biến nhất trên Internet hiện nay. Rất khó có thể thực hiện thành công, nhưng một người dùng Facebook đã làm được điều đó.

Một nhà nghiên cứu bảo mật có tên Anand Prakash đến từ Ấn Độ đã phát hiện một lỗ hổng đơn giản trong mạng xã hội Facebook cho phép ông hack vào bất cứ tài khoản Facebook nào nhằm xem nội dung tin nhắn, đăng tải mọi thứ, xem thông tin thanh toán và làm bất cứ điều gì mà chủ tài khoản thực có thể làm.

Lỗ hổng Password Reset cho phép tin tặc thực hiện tấn công vét cạn mã 6 số và reset mật khẩu tài khoản. Lỗ hổng nằm trong một domain beta (tên miền phụ) của Facebook xử lý yêu cầu ‘Quên mật khẩu’. Theo đó, Facebook cho phép người dùng thay đổi mật khẩu tài khoản thông qua thủ tục Password Reset bằng cách xác nhận một mã 6 số nhận được trong email hoặc tin nhắn sms. Để đảm bảo tính an toàn, người dùng sẽ chỉ được nhập 12 lần mã số (giới hạn nhập mã xác nhận).

Tuy nhiên, Prakash đã phát hiện ra Facebook không cài đặt giới hạn nhập mã xác nhận trên domain beta của mình là beta.facebook.com và mbasic.beta.facebook.com. Ông có thể tấn công vét cạn mã 6 số mà không gặp bất kì trở ngại nào.

Video minh họa

Theo giải thích của Prakash, request POST có thể khai thác trong domain beta là:

lsd=AVoywo13&n=XXXXX

Sau khi tìm ra mã xác nhận, Prakash có thể thiết đặt mật khẩu mới và toàn quyền kiểm soát tài khoản. Prakash đã tìm ra lỗ hổng vào tháng 2 và báo cho Facebook. Ông được Facebook trao thưởng 15,000 USD cho phát hiện này của mình.

THN

Bài viết cùng chủ đề << 7 triệu tài khoản DropBox bị hack, người dùng cần thay đổi mật khẩu ngay[Cảnh báo] Người dùng Google, Facebook có nguy cơ mất mật khẩu >>

Bình luận

Từ khóa: