Facebook trả 15.000$ để "bịt miệng" người có thể hack toàn bộ tài khoản người dùng GJTBrE2

Facebook vừa chi khoản tiền lên đến 15.000 USD cho Anand Prakash, một hacker đến từ Ấn Độ vì đã "có công" tìm ra cách hack được toàn bộ tài khoản Facebook. Đây được xem là số tiền lớn để khắc phục sự cố "nhỏ" tuy nhiên theo công ty thì Prakash hoàn toàn xứng đáng với số tiền trên vì nếu hacker tận dụng được điều này để trục lợi thì hậu quả vô cùng khôn lường.

Quy trình hack của Prakash diễn biến như sau: Khi bạn quên password, password mới gồm 6 ký tự sẽ được gửi vào điện thoại hoặc địa chỉ email của bạn. Bạn chỉ được phép nhập từ 10 đến 12 lần password trước khi báo mất. Công nghệ này có tên rate-limiting - tương tự tính năng bảo mật trên iPhone/iPad (sau 10 lần nhập sai password tự động reset toàn bộ dữ liệu bên trong thiết bị) nhằm tránh các hacker dùng phương pháp brute-forced (tấn công liên hoàn) mò ra password, đánh cắp thông tin.

Facebook trả 15.000$ để "bịt miệng" người có thể hack toàn bộ tài khoản người dùng ScreenShot2016-03-07at5.41.45pm

Vấn đề đáng nói ở đây là tồn tại song song với trang facebook.com là trang beta.facebook.com (bao gồm toàn bộ dữ liệu người dùng). Đây là nơi để Facebook nghiên cứu và đem thử nghiệm các tính năng mới trước khi phát hành và đưa vào thực tế sử dụng. Và trang này lại không trang bị công nghệ rate-limiting, nên Prakash dễ dàng dùng brute-forced nhằm giả mạo việc quên password để Facebook gửi password mới gồm 6 ký tự về thiết bị người dùng, sau đó anh chỉ việc mò 6 ký tự đó là xong.

Rất may mắn, chàng trai đã liên hệ với Facebook để hãng khắc phục sự cố trên và thưởng cho anh số tiền hậu hĩnh. Facebook chia sẻ: Một trong những giá trị to lớn của chương trình "săn lỗi nhận tiền" (Bug Bounty Program - BBP) là nhanh chóng phát hiện các sự cố trước khi rơi vào tay kẻ xấu. Chúng tôi rất vui mừng và xin tuyên dương Prakash bởi báo cáo tuyệt vời của anh." Được biết kể từ khi phát động chương trình BBP vào năm 2011, Facebook đã chi 4,3 tỷ USD cho hơn 800 nhà nghiên cứu bảo mật.

Mời các bạn xem video mô tả quá trình








Tham khảo: Gizmodo