Bảo mật thông tin cá nhân là vấn đề ngày càng được quan tâm, đặc biệt là số điện thoại của mỗi người. Số điện thoại có thể mang ý nghĩa rất quan trọng khi nó gắn liền với các tài khoản và thường được sử dụng cho xác thực 2 yếu tố 2FA. Đó là lý do các công ty công nghệ lớn như Google luôn cố gắng giữ bí mật số điện thoại của người dùng. Nhưng một báo cáo mới đây đã tiết lộ một lỗ hổng có thể cho phép kẻ xấu tìm ra số điện thoại được kết nối với tài khoản Google của người dùng.
Phát hiện lỗ hổng của Google có thể làm lộ số điện thoại người dùng
Theo trang tin Brutecat cho biết, cuộc tấn công mạng này tập trung vào các công cụ mà Google cung cấp để khôi phục tài khoản của người dùng khi gặp sự cố trong lúc đăng nhập. Trong khi phần lớn các biểu mẫu của Google sử dụng JavaScript để hạn chế bot tấn công tự động thì trang này dường như không yêu cầu điều đó. Brutecat tiếp tục tìm hiểu và cuối cùng phát hiện ra một loạt các lỗ hổng mà khi kết hợp lại với nhau có thể làm lộ số điện thoại được liên kết với tài khoản của người dùng.
Quá trình này bắt đầu bằng việc sử dụng công cụ phân tích web Looker Studio của Google một cách khéo léo để lấy tên hiển thị được liên kết với tài khoản Google – khá giống với cách mà Brutecat sử dụng Pixel Recorder trong vụ hack YouTube gần đây để tiết lộ địa chỉ email của người dùng.
Công cụ khôi phục tài khoản của Google sẽ cung cấp gợi ý về số điện thoại được liên kết với tài khoản, đó là 2 chữ số cuối cùng để giúp bạn nhận ra số điện thoại. Sau đó để chứng minh chính chủ, bạn phải điền tên và số điện thoại đầy đủ. Như vậy Looker Studio đã tiết lộ thông tin về tên của người dùng, nhưng làm sao để lấy được phần còn lại của số điện thoại?
Phải mất một chút thời gian, nhưng Brutecat đã tìm ra cách để tránh được một số biện pháp phòng ngừa mà Google đã triển khai, sau đó chỉ cần đoán ngẫu nhiên các chữ số còn thiếu của số điện thoại cho đến khi đoán đúng. Google cung cấp đủ thông tin để tìm ra mã quốc gia của số điện thoại, điều này có thể giúp thu hẹp phạm vi mã vùng hoặc các tiền tố của số điện thoại, giảm quy mô tìm kiếm và tăng tốc việc tấn công. Cuối cùng trang web này có thể chạy thử các dãy số và tìm ra số chính xác trong vòng chưa đầy 20 phút, thậm chí chỉ mất 4 phút đối với một số dãy số ở một số quốc gia nhất định.
Google đã nhanh chóng khắc phục lỗ hổng bảo mật
Google đã được thông báo về lỗ hổng bảo mật này vào tháng 4 vừa qua, và sau khi đánh giá mức độ nghiêm trọng của nó, cuối cùng hãng này đã thưởng cho các nhà nghiên cứu khoản tiền thưởng 5000 USD. Bản sửa lỗi đã bắt đầu được triển khai vào cuối tháng trước và hiện đã được triển khai đầy đủ. Google nói với trang tin TechCrunch:
“Sự cố này đã được khắc phục. Chúng tôi luôn nhấn mạnh tầm quan trọng của việc hợp tác với cộng đồng nghiên cứu bảo mật thông qua chương trình phần thưởng lỗ hổng bảo mật của mình và chúng tôi muốn cảm ơn nhà nghiên cứu đã báo cáo sự cố này. Các bài gửi của nhà nghiên cứu như thế này là một trong nhiều cách để chúng tôi có thể nhanh chóng tìm ra và khắc phục sự cố để đảm bảo an toàn cho người dùng.”
Mặc dù lỗ hổng này đã được đóng lại nhưng bạn cũng nên cân nhắc thay đổi quy trình xác thực 2 yếu tố của mình từ dựa trên số điện thoại sang sử dụng các ứng dụng xác thực hoặc mã thông báo bảo mật phần cứng.
Mời bạn xem thêm các bài liên quan:
- YouTube Music tăng thêm quảng cáo trong video đối với người dùng miễn phí
- 11 dấu hiệu phát hiện hình ảnh do AI tạo ra, bạn nên chú ý
Hãy theo dõi BlogAnChoi để cập nhật nhiều thông tin bổ ích nhé!
Hãy để lại ý kiến của bạn, đó sẽ là động lực để mình cải thiện và phát triển bài viết hơn nữa!