Meta vá lỗ hổng nghiêm trọng cho phép chiếm tài khoản Facebook 

Một lỗ hổng nghiêm trọng của Facebook mới đây được công bố, theo đó hacker có thể chiếm quyền kiểm soát bất kỳ tài khoản Facebook nào từ xa mà không cần người dùng phải thao tác (0-click). 

Thông tin chi tiết về lỗ hổng vừa được tiết lộ bởi nhà nghiên cứu Samip Aryal, người hiện đang đứng đầu danh sách của chương trình tiền thưởng lỗi của Facebook năm 2024. 

Theo Aryal, lỗ hổng này ảnh hưởng đến quá trình đặt lại mật khẩu của Facebook, cụ thể là tùy chọn gửi mã xác thực duy nhất gồm 6 chữ số đến một thiết bị khác mà người dùng đã đăng nhập. Mã này được cung cấp để xác nhận danh tính người dùng và được sử dụng để hoàn tất quá trình đặt lại mật khẩu. 

Phân tích truy vấn mà trình duyệt gửi khi sử dụng tùy chọn đặt lại mật khẩu cho thấy, mã xác thực hoạt động trong khoảng hai giờ và không có biện pháp bảo vệ tấn công brute-force. 

Kẻ tấn công chỉ cần biết username của mục tiêu và có thể sử dụng một công cụ pentest như Burp Suite để brute-force mã sáu chữ số. Từ đó, hacker có thể đặt lại mật khẩu của tài khoản mục tiêu. 

Nhà nghiên cứu đã báo cáo lỗ hổng này cho Meta vào 30/1/2024 và công ty đã khắc phục vấn đề vào 2/2.  

Nguồn: Security Week