Hacker tiết lộ cách hack tài khoản Facebook hàng loạt

Làm thế nào để hack tài khoản Facebook là một câu hỏi thường xuyên nhất được đặt ra trên mạng Internet. Dù rất khó để tìm ra câu trả lời nhưng một hacker mũ trắng đã chứng minh việc hack hàng loại tài khoản Facebook là rất dễ dàng, chỉ với một vài kĩ thuật máy tính đơn giản.

Tài khoản Facebook của bạn có thể bị hack, dù bạn có đặt mật khẩu mạnh hay thực hiện các lớp an ninh bổ sung. Cảnh báo !

Nhà nghiên cứu Gurkirat Singh đến từ California gần đây đã phát hiện ra một lỗ hổng trong cơ chế khôi phục mật khẩu của Facebook, cho phép tin tặc có thể hoàn toàn kiểm soát tài khoản bao gồm việc xem tin nhắn hội hoại, xem thông tin thẻ thanh toán, đăng tải bất cứ thứ gì hoặc làm những gì mà chủ tài khoản thực có thể làm.

Gurkirat cho biết lỗ hổng nằm trong cách Facebook reset mật khẩu người dùng. Facebook sử dụng một thuật toán tạo ra ngẫu nhiên 6 kí tự passcode – tương đương 10⁶ = 1,000,000 khả năng kết hợp –  và nó sẽ không thay đổi đến khi được sử dụng.

Hack tài khoản Facebook hàng loạt như thế nào?

Đầu tiên Gurkirat thu thập Facebook ID khả dụng bằng cách thực hiện truy vấn đến Facebook Graph API bắt đầu từ 100,000,000,000,000, (do Facebook ID thường dưới dạng 15 kí ự số và truy cập đường dẫn  www.facebook.com/[ID] với số ID khả dụng.

Khi truy cập URL sẽ tự động chuyển hướng và thay đổi Facebook ID thành tên tài khoản của người dùng. Bằng cách này, ông đã có trong tay danh sách của 2 tỉ tài khoản Facebook hợp lệ.

Sau đó sử dụng một script, hàng trăm proxy và user-agent ngẫu nhiên, Gurkirat tự động tạo ra yêu cầu khôi phục mật khẩu đối với 2 triệu tài khoản, mỗi tài khoản có một mã 6 số khôi phục mật khẩu. Tiêu theo Gurkirat ngẫu nhiên chọn một số 6 chữ sốvà bắt đầu quá trình khôi phục mật khẩu thông qua tấn công vét cạn.

facebook-password-hack

Thực tế khi tiến hành nghiên cứu, Gurkicat đã tìm ra được mã khôi phục mật khẩu kết hợp với tên tài khoản cho phép ông chiếm được một tài khoản Facebook ngẫu nhiên. Facebook đã vá lỗ hổng sau báo cáo của Gurkirat và trao thưởng 500 đô la nhưng ông vẫn nghi ngờ ràng bản vá chưa đủ mạnh để giảm thiểu lỗ hổng.

Cách bảo vệ tài khoản Facebook

Kích hoạt tính năng Xét duyệt đăng nhập: Facebook sẽ gửi một mã số đến điện thoại của người dùng khi người dùng đăng nhập từ một máy tính/trình duyệt không nhận diện được.

Kích hoạt tính năng Cảnh báo đăng nhập: Facebook sẽ gửi email hoặc SMS bất cứ khi nào nghi ngờ người dùng không ủy quyền truy cập vào tài khoản của bạn.

Sử dụng công cụ quản lý mật khẩu

THN

Bình luận

Từ khóa: