Lỗ hổng bảo mật của Amazon.com

Lỗ hổng bảo mật của Amazon.com

Amazon.com

Một lỗ hổng trong ứng dụng di động của Amazon, hiện đã được khắc phục, cho phép kẻ tấn công có thể nhập mật khẩu không giới hạn số lần nhập đã được hãng bảo mật FireEye phát hiện ra.

Nếu người dùng nhập sai mật khẩu 10 lần trên website amazon.com, họ sẽ bị yêu cầu nhập CAPTCHA (mã xác nhận chống các chương trình tự động). Nhưng CAPTCHA lại không được sử dụng cho ứng dụng Amazon trên nền tảng iOS và Android, cho phép kẻ tấn công có thể đoán mật khẩu mà không hề gặp khó khăn nào, theo như các nhà nghiên cứu Min Zheng, Tao Wei và Hui Xue viết trên trang blog của FireEye.

FireEye đã cảnh báo vấn đề trên cho Amazon vào 30 tháng 1, và vào ngày 19 tháng 2, Amazon thông báo nó đã được khắc phục.

Tên đăng nhập của người dùng Amazon là địa chỉ email của họ (tin tặc có thể thu thập được thông tin này không mấy khó khăn). Và với việc không bị giới hạn số lần nhập mật khẩu, tin tặc có thể sử dụng các chương trình đoán mật khẩu tự động.

“Điều tồi tệ hơn là, rất nhiều khách hàng chỉ sử dụng một mật khẩu cho nhiều trang web khác nhau. Do đó, kẻ tấn công sẽ kiểm soát được nhiều tài khoản hơn sau khi tìm ra mật khẩu trên Amazon.com”, Wei viết.

Cũng trên blog, các chuyên gia bảo mật của FireEye còn cho biết Amazon.com không hề yêu cầu khách hàng sử dụng mật khẩu mạnh. Các mật khẩu dễ đoán như “123456” hay “111111” đều được chấp nhận. Họ đã viết mã khai thác cho ứng dụng Amazon phiên bản 2.8.0 trên Android, và sau khoảng 1000 lần thử, họ đã thành công.

Nguồn: pcworld.com

 

Bình luận

Từ khóa: