Hacker Laxman Muthiyah vừa báo cáo lỗ hổng bảo mật nghiêm trọng trên Instagram, cho phép tin tặc tấn công và kiểm soát hoàn toàn tài khoản người dùng mà không cần được cấp quyền.
Dù luôn được trang bị những cơ chế bảo mật tiên tiến nhưng các nền tảng lớn như Facebook, Google, LinkedIn hay Instagram vẫn có nguy cơ chứa các lỗ hổng hệ thống và dễ bị tấn công nếu không phát hiện kịp thời. Một số lỗ hổng đã được vá, số khác vẫn đang trong quá trình sửa chữa và tất nhiên có cả những lỗi chưa bị phát hiện, đe dọa quyền riêng tư của người dùng.
Ứng dụng chia sẻ ảnh Instagram vừa vá một lỗ hổng bảo mật nghiêm trọng nằm trong cơ chế khôi phục mật khẩu trên phiên bản di động. Lỗi này cho phép tin tặc tấn công trái phép và kiểm soát hoàn toàn tài khoản người dùng.
“Đặt lại mật khẩu” hoặc “khôi phục mật khẩu” là tính năng hỗ trợ bạn lấy lại quyền truy cập tài khoản trong trường hợp lỡ quên dãy mật mã. Trên Instagram, người dùng phải xác nhận mã bí mật gồm 6 chữ số (hết hạn sau 10 phút) được gửi đến số điện thoại di động hoặc tài khoản email cá nhân để chứng minh danh tính – nghĩa là kẻ xấu có thể dựa trên một triệu số để mở khóa tài khoản. Tất nhiên Instagram có kích hoạt giới hạn tỷ lệ – rate limiting (chỉ cho phép một lượng yêu cầu nhất định trên 1 đơn vị thời gian) để ngăn tin tặc tấn công.
Thế nhưng Laxman đã nhận thấy phương thức này không an toàn và dễ bị “qua mặt” bằng cách gửi một loạt yêu cầu từ các địa chỉ IP khác nhau, đồng thời nhập cùng lúc nhiều mã xác nhận lên hệ thống để tìm con số trùng khớp. Trong quá trình thử nghiệm, Laxman đã tận dụng lỗ hổng, thử 200.000 mật mã khác nhau (20% tổng số) để đánh cắp tài khoản mà không bị hệ thống chặn.
“Trong quá trình tấn công thực, tin tặc cần 5.000 IP. Nghe có vẻ lớn nhưng rất dễ thực hiện nếu bạn sử dụng những dịch vụ đám mây như Amazon hoặc Google. Chỉ tốn 150 USD để tấn công một tài khoản Instagram”, Laxman cho biết. Hacker người Ấn Độ đã phát hành bằng chứng về lỗ hổng và nhận được 300.000 USD tiền thưởng từ mạng xã hội này. Facebook đã phát hành bản vá lỗi cho Instagram.
Để bảo vệ an toàn cho tài khoản trực tuyến và giảm nguy cơ bị tấn công, người dùng nên kích hoạt xác thực hai yếu tố. Tính năng này có thể ngăn chặn tin tặc truy cập vào tài khoản người dùng ngay cả khi đã đánh cắp được mật khẩu.