Vụ trộm lịch sử trên Yahoo! 360

by **jIkRo** Thu Apr 10, 2008 9:17 pm

Thứ Năm, 10/04/2008, 09:58 GMT+7

Như thường ngày, ca sĩ Bảo Thy vào blog để
cập nhật thông tin và xem có ai nhắn nhủ gì không. Trong số các tin
nhắn mới, có một cái từ blog của ca sĩ Quang Vinh, khi nhấn vào để xem
nội dung, một cửa sổ mới của Yahoo! xuất hiện, đề nghị cô nhập lại mật
khẩu một lần nữa.

Tuyên bố đã reset password trên blog Kym Ljnk và các blast của blog OnlyU bị thay đổi

Không để ý đến sự khác lạ này, cô gõ mật khẩu lần nữa và tên cô đã nằm trong danh sách hơn 100 hot blogger bị chôm mật khẩu.

Giỏi CNTT cũng không thoát

Sự kiện gây xôn xao cộng đồng blogger Yahoo! 360^O VN.
Nhiều người nghe đồn nếu lọt vào tầm ngắm của hacker thì chỉ cần vào
blog là sẽ bị mất mật khẩu đã hoang mang không dám vào blog.

Không chỉ Quang Vinh, Bảo Thy hoặc những "gà mờ" IT, ngay cả một hot
blogger với pageview hơn 7 triệu lượt là OnlyU vốn khá rành công nghệ
thông tin cũng trở thành nạn nhân của vụ đột kích. Với OnlyU thì sự
việc có vẻ trớ trêu, anh này kể lại rằng sau khi đọc entry về nạn lừa
đảo lấy password Yahoo! đang trở lại trên blog của Shock man đã hứa sẽ
viết một bài cảnh báo mọi người về "hack pass Yahoo! và cách phòng
chống".

Vụ trộm lịch sử trên Yahoo! 360 Trom1

Blast của blog Bảo Thy (trên) Quang Vinh (dưới) bị thay đổi

Để có tư liệu xác thực, OnlyU cũng mở
hộp thư, tình hình cũng giống như Bảo Thy, sau khi chụp màn hình và xem
code, OnlyU có điện thoại... và ra ngoài. Khi quay lại máy tính thấy
trang login của Yahoo! cũng chẳng nghi ngờ gì và hồn nhiên gõ
password... đến khi update blast (như thói quen thường ngày) lại thấy
màn hình yêu cầu nhập password, đương nhiên vẫn nhập nhưng sau ba lần
nhập, OnlyU biết bị mất password... Check alternative mail thấy Yahoo!
thông báo đã change password. Vẫn còn online bằng nick này tại Yahoo!
IM nên đã kịp thông báo cho bạn bè biết bị mất password và ID trước khi
khóc ròng.

Trò đùa hay đòn cảnh tỉnh Yahoo!?

Theo xác nhận của Yahoo! Singapore, lỗi bảo mật của Yahoo! 360^O
đã được Yahoo! US sửa hoàn tất vào lúc 10g sáng giờ Việt Nam (GMT+7).
Trong đợt sửa lỗi lần này, không chỉ xóa bỏ không cho phép người dùng
chèn mã vào message trong mailbox 360, mà Yahoo! còn xóa
bỏ tất cả các dấu mở/đóng của các TAG trong HTML là dấu < và dấu
>.

"Tên trộm thành Yahoo!" sau mỗi vụ đột nhập đều không vơ vét, phá
phách gì ở nhà nạn nhân ngoài việc sửa lại blast thành "con yêu má hơn
ba một tẹo" cùng với thông báo sẽ reset lại mật khẩu cho nạn nhân vào
đêm chủ nhật.

Rất nhiều nạn nhân không nhớ được câu hỏi bí mật hoặc ZIP code để phục
hồi mật khẩu đành hồi hộp ngồi chờ lời hứa của tên trộm. Cùng lúc đó,
một blog xuất hiện tự xưng là Kym Ljnk - thủ phạm của các vụ trộm
password. Với giọng điệu hài hước, Kym Link nói về cách mình hack và …
cách phòng chống bị Kym Ljnk hack. Kym Ljnk khẳng định: "Em chỉ change
pass khoảng 100 blog và chắc chắn em sẽ trả lại các blog này không một
mất mát nào".

Đúng như lời hứa, qua sáng thứ hai, những mật khẩu bị chôm đã được trả lại, các blogger nạn nhân như bước ra khỏi ác mộng.

Kym Ljnk là ai? Động cơ của vụ trộm này là gì? Các blogger phỏng đoán
đây là có thể là một cô gái, là một nhóm hacker, là chính anh chàng
OnlyU, là chuyên gia an ninh mạng, là cảnh sát phòng chống tội phạm
công nghệ cao… Khi vụ trộm hoành tráng khép lại, không thiệt hại về tài
sản, Kym Ljnk từ một tên trộm trở thành người hùng và người ta gửi lời
cảm ơn Kym Ljnk vì trò đùa này làm các blogger cẩn trọng hơn.

Vụ trộm này không chỉ là đòn chơi khăm người sử dụng Yahoo mà còn gióng
lên hồi chuông về tính bảo mật của các dịch vụ web theo xu thế web 2.0
đang phát triển tại VN. Một thế hệ web mới đang được hình thành với mô
hình, cách thức hoạt động được copy y chang từ các website nước ngoài,
nhưng về mặt kỹ thuật chưa làm đến nơi đến chốn, vô tình đẩy những nhà
quản trị đối mặt với nguy cơ cao về bảo mật.

Lỗ hổng Yahoo! 360^o rất nguy hiểm

Nguyễn Ngọc Long, trưởng ban biên tập nhacSO.net, khẳng định "lỗ hổng của Yahoo! 360^O
rất nguy hiểm vì hacker có thể khai thác để ăn cắp tài khoản truy cập
của người sử dụng; đây lại là một dịch vụ dùng chung tài khoản với rất
nhiều dịch vụ khác của Yahoo!". Theo ông Long phân tích, lỗ hổng này là
Cross Site Scripting (XSS). Về nguyên tắc, khi thiết kế hệ thống, lập
trình viên phải chặn và loại bỏ hết các mã JavaScript nguy hiểm truyền
về máy chủ từ phía người sử dụng. Thế nhưng đội ngũ lập trình Yahoo! 360^O
đã quên điều này. Lợi dụng điểm yếu đó, hacker đã tạo ra các trang đăng
nhập giả (fishing) để lấy cắp thông tin tài khoản (tên truy cập và mật
khẩu) Yahoo! của người sử dụng.

Ông Long khuyến
cáo nạn nhân của vụ đột kích lần này nên đổi mật khẩu đăng nhập, câu
hỏi bí mật (nếu có thể), thông tin cá nhân, địa chỉ email thứ cấp…
trong tất cả các tài khoản mà người dùng đang có chứ không chỉ là tài
khoản Yahoo! Vì rất có thể hacker đã nắm giữ thông tin về nhiều tài
khoản ở các dịch vụ khác (như Gmail, các forum, trang mua bán…) mà
người sử dụng tham gia.