Sunday, September 21, 2008

Lỗ hổng cơ chế xóa mật khẩu của Yahoo, Hotmail, Gmail


Không chỉ có Yahoo Mail mà cả Hotmail và Gmail đều có thể bị tấn công bằng cách tương tự như cách mà hacker đã sử dụng để đánh cắp mật khẩu tài khoản email của ứng cử viên Phó tổng thống Mỹ của Đảng Cộng hoàn Sarah Palin.


Giới bảo mật cho biết nguyên nhân dẫn tới tình trạng này là bởi tất cả các dịch vụ email miễn phí nói trên đều sử dụng một cơ chế tự động thay đổi mật khẩu không an toàn.

Cụ thể, cơ chế này cho phép bất kỳ một ai nắm trong tay đăng nhập và câu trả lời câu hỏi bí mật (security question) có thể thay đổi mật khẩu tài khoản email người dùng.

Lỗ hổng trong cơ chế thay đổi mật khẩu tự động này là ở chỗ chúng đều không gửi mật khẩu mới đến địa chỉ email thay thế (alternate email) được khai báo trong phần hồ sơ thông tin người dùng mà thay vào đó là một quy trình xử lý trực tuyến. Nhờ đó mà chỉ cần có được những thông tin như trên là hacker hoàn toàn đã có thể đột nhập vào email của người dùng.

Một lỗ hổng khác trong cơ chế trên đây là ở chỗ chúng đều sử dụng những câu hỏi rất dễ có thể lần ra câu trả lời từ việc tìm kiếm thông tin cá nhân về người dùng trên mạng Internet – ví dụ, câu hỏi về mẹ đẻ của người dùng trước khi kết hôn (truyền thống của người nước ngoài là người phụ nữ sẽ đổi sang họ của chồng khi kết hôn), tên con vật nuôi ưa thích, tên chiếc xe ô tô đầu tiên …

Hacker giấu tên đã thực hiện vụ tấn công tài khoản email của bà Palin cho biết anh ta chỉ mất có 45 phút lùng sục trên mạng là đã có thể tìm được thông tin cần thiết giúp anh ta đoán được đáp án câu hỏi bí mật tài khoản email của bà Palin.
(Suu Tam)

No comments:

Post a Comment