18/04/2016 10:23 GMT+7

Google thưởng 12.500 USD cho người chỉ ra cách chiếm tài khoản

ĐỨC THIỆN
ĐỨC THIỆN

TTO - Google vừa trao thưởng 12.500 USD cho một nhà nghiên cứu có biệt danh là Ramzes vì đã phát hiện ra nhiều lỗ hổng “chết người” trong quy trình phục hồi tài khoản người dùng.

Quy trình trợ giúp tài khoản người dùng của Google. - Ảnh chụp màn hình
Quy trình trợ giúp tài khoản người dùng của Google. - Ảnh chụp màn hình

Lỗ hổng người này phát hiện có thể cho phép kẻ tấn công thay đổi được mật khẩu tài khoản người dùng bằng quy trình khôi phục tài khoản. Qua đó chiếm quyền sở hữu tài khoản của họ.

Theo mô tả của Ramzes, cuộc tấn công bắt đầu từ lỗ hổng cross-site scripting (XSS) vốn được sử dụng bởi nhiều ứng dụng web của Google để hiển thị các bài viết trợ giúp người dùng mà không cần phải chuyển hướng đến trung tâm trợ giúp (Help Center).

Trong quy trình phục hồi tài khoản, kẻ tấn công sẽ nhập tài khoản email mục tiêu vào trang google.com/accounts/recovery. Quy trình sẽ tiếp tục yêu cầu nhập mật khẩu sử dụng lần cuối cùng trên trang accounts.google.com.

Bằng các thủ thuật của mình, Ramzes cho thấy phép kẻ tấn công hoàn toàn có thể lấy được đường dẫn thiết lập lại mật khẩu được gửi đến địa chỉ email của mình. Từ đó dễ dàng chiếm đoạt tài khoản người dùng.

Google đã xác nhận lỗ hổng trên và cho biết các nhà nghiên cứu có thể chiếm quyền điều khiển các tài khoản thử nghiệm vì quá trình phục hồi được khởi tạo từ một địa chỉ IP và đối tượng trình duyệt đã biết. Đây là tính năng được thiết kế để người dùng có thể dễ dàng khôi phục lại tài khoản, đặc biệt trong trường hợp tài khoản bị kẻ xấu chiếm đoạt.

ĐỨC THIỆN
Trở thành người đầu tiên tặng sao cho bài viết 0 0 0

Tuổi Trẻ Online Newsletters

Đăng ký ngay để nhận gói tin tức mới

Tuổi Trẻ Online sẽ gởi đến bạn những tin tức nổi bật nhất

Bình luận (0)
thông tin tài khoản
Được quan tâm nhất Mới nhất Tặng sao cho thành viên