TTO - Khi nhấn vào liên kết được gửi trong email Yahoo!
Mail, kể cả từ địa chỉ người quen, hacker sẽ có thể khai thác lỗi và
gửi hàng loạt email tương tự đến tất cả địa chỉ trong danh bạ.
Ảnh minh họa: Internet |
Trong ngày 7-1-2013, nhiều người dùng "than vãn" trên
các mạng xã hội Facebook và Twitter rằng tài khoản Yahoo! Mail của mình
đã bị hack sau khi click vào một liên kết (link) gửi kèm trong email đến
hộp thư.
Theo The Next Web, website công nghệ đầu tiên
đăng tải thông tin về lỗi, một nhà phân tích bảo mật tại công ty bảo mật
Abysssec mang tên Shahin Ramezany đã đăng tải một video clip nêu rõ
cách thức khai thác lỗi từ dịch vụ webmail Yahoo! Mail để chiếm dụng một
tài khoản người dùng. Lỗi thuộc dạng XSS, có thể thực hiện trên tất cả
các trình duyệt web.
Video clip này lập tức được phát tán, kỹ thuật tấn công
chiếm dụng tài khoản cũng khá đơn giản, số tài khoản bị tấn công theo
đó tăng lên. Chỉ cần thực hiện tìm kiếm với từ khóa "Yahoo hacked" trên Twitter, danh sách hàng loạt nạn nhân đăng tải thông tin xuất hiện.
Trước đó vào cuối tháng 11-2012, một hacker người Ai
Cập mang bí danh TheHell đã đưa ra mức giá 700 USD cho lỗi tương tự. Khi
so sánh hai video clip, cách khai thác của Shahin Ramezany thực hiện
trong bốn phút, trong khi đó, cách thức của TheHell vỏn vẹn trong 90
giây.
Shahin Ramezany cho rằng lỗi này ảnh hưởng tất cả 400
triệu người dùng Yahoo! Mail nhưng chỉ đưa video clip thông tin lỗi lên
khi Yahoo! tiến hành khắc phục.
Một khi click vào liên kết độc hại, hacker sẽ có thể
giả danh địa chỉ email của bạn và gửi đến toàn bộ địa chỉ email trong
danh bạ của nạn nhân theo cùng một email có tiêu đề và liên kết bên
trong. Theo đó, số nạn nhân sẽ tăng lên theo những lần click.
Yahoo! nhanh chóng khắc phục lỗi
Vài giờ sau khi thông tin khai thác lỗi được công bố
trên Internet, Yahoo! đã lên tiếng xác nhận về lỗi được minh họa trong
video clip của Shahin Ramezany.
Ngoài ra, Yahoo! cũng xác nhận đã khắc phục lỗi này và vẫn tiếp tục điều tra thêm vụ việc.
Toàn bộ người dùng Yahoo! Mail được khuyến cáo đổi mật
khẩu tài khoản và hạn chế click vào những liên kết kèm theo trong nội
dung email, kể cả những liên kết đáng ngờ từ tài khoản người quen, vì
tài khoản của họ có thể đã bị hack.
THANH TRỰC