Lỗ hổng iCloud cho phép tin tặc chiếm tài khoản chỉ bằng số điện thoại

Lỗ hổng iCloud cho phép tin tặc chiếm tài khoản chỉ bằng số điện thoại
Tạp chí Nhịp sống số - Nhà nghiên cứu Laxman Muthiyah vừa phát hiện ra một lỗ hổng nghiêm trọng trong hệ thống xác thực 2 yếu tố của iCloud, cho phép tin tặc chiếm tài khoản chỉ bằng số điện thoại của nạn nhân.

Tại thị trường Bắc Mỹ, PayPal đang ở thời kỳ đỉnh cao. Là gã khổng lồ trong thanh toán di động toàn cầu, tốc độ mở rộng ngày càng trở nên cấp thiết đối với PayPal.

Mặc dù PayPal hiện có 300 triệu tài khoản thanh toán đang hoạt động, hỗ trợ giao dịch bằng hơn 100 loại tiền tệ trên khắp thế giới và đứng đầu trong phần mềm thanh toán toàn cầu, nhưng hãng vẫn phải mất một thời gian để bước ra khỏi vùng an toàn.

Sau khi đại dịch dần được kiểm soát, một làn sóng mua bán và sáp nhập mới đã đến. Dữ liệu mới nhất từ ​​JP Morgan Chase cho thấy kể từ tháng 1 đến tháng 5 năm nay, các hoạt động M&A toàn cầu đã đạt mức cao kỷ lục và hoạt động mua lại bằng đòn bẩy đạt mức cao nhất kể từ năm 2007. Có thể dự đoán rằng năm 2021 sẽ là một năm lớn đối với các giao dịch mua lại.

Nếu trước đây PayPal Mafia (thuật ngữ dùng để chỉ một nhóm cựu nhân viên PayPal nắm giữ quyền lực và sức ảnh hưởng lớn tại Thung lũng Silicon. Họ là những người đàn ông có giá trị hàng tỉ USD) đã tạo nên huyền thoại ở Thung lũng Silicon và thậm chí là giới doanh nhân công nghệ toàn cầu, thì giờ là thời điểm hoàn hảo để PayPal mở rộng và bứt phá.

Quảng cáo

Theo đó, Laxman Muthiyah đã sử dụng kỹ thuật tương tự như brute force để gửi đồng thời cùng lúc nhiều yêu cầu đặt lại mật khẩu đến máy chủ.

Các công ty phát triển ứng dụng, dịch vụ thường giới hạn số lần gửi yêu cầu đặt lại mật khẩu để tránh bị lợi dụng.

Đơn cử như với Apple, bạn chỉ có thể gửi yêu cầu đặt lại mật khẩu tối đa 5 lần, nếu thực hiện nhiều hơn, bạn sẽ bị khóa tài khoản trong vòng vài tiếng. Tuy nhiên, Muthiyah đã gửi yêu cầu đặt lại mật khẩu bằng nhiều IP khác nhau để đánh lừa hệ thống và xâm nhập vào tài khoản iCloud.

Muthiyah nói rằng nếu bạn biết số điện thoại của một người, bạn có thể gửi yêu cầu liên tục để nhận được mã xác thực hai lớp và đặt lại mật khẩu. 

Muthiyah đã báo cáo vấn đề này với Apple vào tháng 6/2020. Trong email phản hồi, công ty nói rằng cách tấn công này chỉ ảnh hưởng đến những tài khoản Apple chưa từng đăng nhập vào iPhone, iPad, MacBook… và việc có được 28.000 địa chỉ IP để gửi hơn 1 triệu yêu cầu quên mật khẩu là điều không hề dễ dàng.

Apple cuối cùng đã phát hành bản sửa lỗi cho vấn đề này vào tháng 4/2021. Sau rất nhiều email giữa Apple và Muthiyah, Apple đã đề nghị tặng anh 18.000 USD thông qua chương trình tiền phát hiện lỗi. Tuy nhiên, Muthiyah đã từ chối lời đề nghị với lý do “không công bằng” vì mức độ ảnh hưởng mà nó có thể gây ra.

Có thể bạn quan tâm