Hack được cả vào wall của Mark Zuckerberg, hacker này vẫn bị Linkedin làm ngơ khi cảnh báo lỗ hổng bảo mật

Tức giận vì Facebook đã phớt lờ một lỗ hổng bảo mật nghiêm trọng, Shreateh đã chứng minh nó bằng cách trực tiếp tấn công vào tường Facebook của Zuckerberg để kêu gọi công ty hành động. Vào tháng trước, anh này lại phát hiện một lỗ hổng bảo mật trên trang LinkedIn, và anh đã liên hệ với The Verge để bày tỏ sự tức giận khi mà công ty này cũng lờ đi lời cảnh báo của anh - y hệt như những gì xảy ra 4 năm trước.

Lỗ hổng bảo mật này được kích hoạt bằng cách luồn các mã phức tạp vào các hình ảnh được lưu trữ trên trang web này. Bằng cách thay đổi giá trị nguồn của hình ảnh đăng tải, kẻ tấn công có thể triển khai lệnh từ xa khi người dùng nhấp vào hình ảnh. Một trong những hệ luỵ phiền toái nhất của lỗ hổng bảo mật này là kẻ tấn công có thể nguỵ trang lệnh từ xa dưới dạng lệnh xác thực của LinkedIn, và từ đó có thể lừa người dùng để chia sẻ mật khẩu. Lệnh xác thực thậm chí hiện lên tự động nếu như người dùng LinkedIn chỉ đơn giản là truy cập vào bài đăng và đăng xuất khỏi trang web. LinkedIn sau đó đã vá lỗ hổng này sau khi được liên hệ bởi The Verge.

Mặc dù lỗ hổng này sẽ cần phải được thực hiện trên một tài khoản LinkedIn với một số lượng người theo dõi lớn, hoặc phải được phân phát tới các nạn nhân thông qua email lừa đảo, một khi Shreateh hướng dẫn chi tiết cho The Verge, lỗi này rất dễ nhận ra. Ban đầu, các kỹ sư an ninh của LinkedIn đã bác bỏ báo cáo, coi rằng đó là do "can thiệp của người dùng", mặc dù lệnh xác thực tự động hiện ra nếu bạn đang xem một bài đăng mà không đăng nhập.

Ví dụ về lỗi bảo mật của LinkedIn.

"Tôi đã thực sự ngạc nhiên với tất cả những phản hồi mà tôi nhận được từ LinkedIn," Shreateh chia sẻ với The Verge. "LinkedIn và các công ty khác nên đưa các vấn đề an ninh lên mức cao nhất, và phải có một chuyên viên an ninh có thể đưa ra các phản hồi trực tiếp với bất kỳ báo cáo bảo mật nào." Shreateh không phải là một nhà nghiên cứu an ninh toàn thời gian, nhưng anh đã liên tục nghiên cứu các lỗi website được 9 năm rồi. CNN thậm chí đã từng đến thăm Shreateh tại nhà riêng của anh này, và anh đã được thưởng cho việc phát hiện ra ít nhất 10 lỗi khai thác Facebook sau vụ hack tường của Zuckerberg.

Sự tức giận của Shreateh là điều dễ hiểu. Các nhà nghiên cứu thường xuyên phải kiểm tra và báo cáo các lỗi bảo mật, và nếu các công ty chậm trễ trong việc xử lý thì họ có thể đưa hàng triệu người dùng vào tình huống rủi ro. "Sau khi các nhà nghiên cứu liên hệ với chúng tôi để tiết lộ về một vấn đề trên nền tảng của chúng tôi, chúng tôi đã tích cực tham gia với họ và đã nhanh chóng thực hiện sửa chữa sau khi chúng tôi có thể diễn tải lại được vấn đề," một phát ngôn viên của LinkedIn tuyên bố với The Verge. "Vấn đề này có khả năng ảnh hưởng đến người dùng chỉ khi họ trả lời những email lừa đảo từ kẻ tấn công và sau đó nhập thông tin của họ. Chúng tôi không tin là đã có hành vi khai thác nào xảy ra. Chúng tôi đánh giá cao những thành tựu đã thiết lập và đạt được khi làm việc với các nhà nghiên cứu an ninh để bảo vệ các thành viên của chúng tôi."