Twitter lại bị tấn công do sơ hở trong bảo mật

Hôm qua (30/4) lãnh đạo Twitter chính thức thừa nhận dịch vụ “tiểu blog” này mới đây lại bị hacker tấn công.

Đây đã lần thứ hai trong năm nay Twitter bị tấn công và phương pháp tấn công vẫn là thông qua việc đoạt quyền kiểm soát tài khoản quản trị hệ thống của một nhân viên hãng.

Ngày 29/4, một hacker giấu tên có nickname là Hacker Croll đã cho đăng tải trên một diễn đàn trực tuyến của Pháp 13 bức ảnh minh họa việc hacker này đột nhập thành công vào tài khoản quản trị của Jason Goldman – Giám đốc quản lý sản phẩm của Twitter.

Theo đó, hacker này nhờ vào tài khoản quản trị đó đã có thể truy cập đến những thông tin tài khoản của những người nổi tiếng như Britney Spears hay Ashton Kutcher. Không những thế hacker này còn có thể bổ sung hay xóa bỏ một số thành viên Twitter nào đó ...

Chiều qua (30/4), thông qua một bài viết trên trang blog của hãng, Biz Stone – Giám đốc điều hành Twitter – đã chính thức lên tiếng xác nhận vụ việc. “Tuần qua, Twitter đã bị đối tượng bên ngoài truy cập trái phép. Theo những điều tra ban đầu thì khoongn hề có bất kỳ thông tin tài khoản nào bị chỉnh sửa hoặc xóa bỏ. Có tổng cộng 10 tài khoản đã bị hacker truy cập xem thông tin cá nhân người dùng. Chúng tôi đã liên lạc với những người dùng này để thông báo sự cố ”.

Hacker Croll cho biết để lấy được mật khẩu tài khoản của ông Goldman hắn trước tiên đã đoạt được mật khẩu truy cập tài khoản Yahoo của vị giám đốc này và nhờ đó mà đã thay đổi được mật khẩu truy cập Twitter theo ý muốn.

“Tôi không hề sử dụng bất kỳ mã khai thác lỗi, không tấn công bất kỳ lỗi XSS, không mã độc cổng sau, không khai thác lỗi SQL Injection nào ... Tất cả chỉ nhờ hình thức tấn công ‘social engineering’ đánh vào mối quan tâm của nạn nhân”.

Từ đầu năm đến nay Twitter liên tục phải đối mặt với tình trạng bị hacker tấn công.

Tháng 1, một hacker có tên GMZ cũng đã đoạt được quyền truy cập đến tài khoản quản trị Twitter nhờ hình thức “đoán” mật khẩu tài khoản một nhân viên hãng này. Nhờ đó mà hacker này đã đoạt được quyền kiểm soát 33 tài khoản Twitter khác nhau trong đó có những người nổi tiếng như Tổng thống Barack Obama, Fox News, Britney Spears...

Và mới đây Twitter liên tục hứng chịu tới 5 vụ tấn công bằng sâu máy tính của một hacker năm nay mới chỉ 17 tuổi. Nguyên nhân của vụ tấn công bắt nguồn từ một lỗ hổng chết người trên website của hãng này.

Bỏ ngỏ cam kết

Một lần nữa ông Stone lại viết trên blog: “Twitter luôn xem trọng vấn đề bảo mật. Chúng tôi sẽ tiến hành một đợt thanh kiểm tra toàn diện các hệ thống nội bộ đồng thời sẽ nhanh chóng cho triển khai thêm các biện pháp chống đột nhập mới nhằm bảo vệ dữ liệu cá nhân của người dùng”.

Song ông Manuel Dorne – một chuyên gia về công nghệ thông tin – nhận xét mặc dù sau sự cố tháng 1 vừa qua Twitter cam kết sẽ tiến hành đánh giá lại toàn bộ khả năng bảo mật cũng như tăng cường thêm các biện pháp bảo mật nhưng có vẻ như chỉ nói chứ không làm. Khả năng bảo mật của Twitter có thể nói hiện rất yếu.

Cụ thể ông Dorne cho biết bất kỳ ai truy cập vào trang quản trị admin.twitter.com đều sẽ được truy cập đến trang đăng nhập hệ thống. Tên đăng nhập tài khoản nhân viên Twitter gần như đều có sẵn trên trang, công việc của hacker chỉ còn là làm thế nào để dò được mật khẩu. Điều này đã xảy ra trong sự cố hồi tháng 1.

Lẽ ra Twitter chỉ nên để cho các nhân viên trong nội bộ mới có thể truy cập website này nhưng thực tế lại không như thế. Ví dụ như trong trường hợp ông Goldman, hacker đã có tên đăng nhập nhờ tài khoản của ông trên trang Twitter và đoán ra mật khẩu có thể là tên của con hoặc vợ ông.

Hình thức tấn công như thế này được gọi là “social engineering” và hiện vẫn còn rất phổ biến. Năm ngoái hacker cũng đã sử dụng kiểu tấn công như của Hacker Croll để đoạt được quyền truy cập đến tài khoản Yahoo Mail của ứng cử viên phó tổng thống Mỹ Saral Palin.