Lỗ hổng giống nhau về bảo mật của Facebook và thị trường Cryptocurrency

5 năm trước
Happy Trade
Lỗ hổng giống nhau về bảo mật của Facebook và thị trường Cryptocurrency

Facebook vừa công bố họ bị hack và có thể 50 triệu tài khoản bị rò rỉ thông tin. Trong bài viết này mình sẽ tổng hợp lại thông tin từ các nguồn khác nhau về vấn đề này để anh em hiểu hơn, cũng như nguyên nhân cốt lõi của tất cả những chuyện này là gì. Cuối cùng, mình sẽ chỉ ra sự giống nhau đến bất ngờ của các vụ hack như thế này đến vấn đề bảo mật trên thị trường cryptocurrency.

Nguyên nhân vụ hack 50 triệu tài khoản Facebook

1. Lỗi xuất phát từ việc Facebook phát hiện 1 hacker đã khai thác lỗ hổng kĩ thuật để trộm access token của người khác. Access token của Facebook là một chuỗi nhiều kí tự, nó sinh ra để các hệ thống / web / trình duyệt giao tiếp với nhau và nó KHÔNG phải là password mà bạn dùng để đăng nhập. Mỗi người sau khi đăng nhập sẽ có một access token, và khi bạn log out rồi log in lại thì access token cũng thay đổi.

Khi bạn dùng app Facebook trên điện thoại, server Facebook biết bạn là ai để trả thông tin cho đúng cũng là nhờ access token. Mỗi một yêu cầu (request) gửi lên server Facebook đều phải đính kèm access token để hệ thống thực hiện việc xác thực, định danh. Nói nôm na nó là cái thẻ tên của các tài khoản trên hầu hết các nền tảng web, để server nền tảng đó định danh từng tài khoản là của người nào.

2. Facebook nói hacker trên đã sử dụng access token để đăng nhập vào tài khoản của 50 triệu người dùng thông qua lỗ hổng của tính năng View As. Đây thực chất là một công cụ có sẵn của Facebook cho phép bạn xem thử trang hồ sơ (profile) của mình sẽ hiển thị như thế nào khi người khác vào xem.

Kết hợp tất cả mọi thứ lại, lỗ hổng có thể diễn giải như sau: khi bạn vào xem trang hồ sơ của ai đó, access token sẽ được trình upload video của Facebook tạo ra, và đây lại là access token của người đó chứ không phải của bạn (đúng ra là phải của bạn). Access token này lại được chèn vào mã HTML của trang web nên hacker có thể trích xuất và sử dụng nó để đăng nhập vào tài khoản của người khác.

​Tóm lại, hacker hack được vào 50 triệu tài khoản Facebook là dựa vào 1 lổ hổng của 1 tính năng của Facebook. Hay nói rộng hơn, lổ hổng này là do con người – những người chủ của Facebook, mắc phải.

3. Mật khẩu của bạn không hề bị mất, nên không cần phải đổi mật khẩu trên lý thuyết. 50 triệu tài khoản này chỉ bị hack thông qua access token của tính năng View As, không liên quan tới mật khẩu. Tuy nhiên bạn vẫn nên đổi mật khẩu cho chắc, vì đâu biết bọn hacker đã có thể làm thêm điều gì.

Facebook bị hack liên quan gì tới bảo mật trên thị trường crypto?

Về mặt bản chất, hầu hết các vụ hack đều xảy ra khi người chủ của 1 nền tảng bỏ sót 1 lỗ hổng, hay lỗi, hay bug, vấn đề gì đó mà hacker có thể khai thác để truy cập trái phép vào nền tảng. Mức độ quan trọng của hack tới đâu thì phụ thuộc vào trình độ của hacker, và khả năng giải quyết tình huống của chủ nền tảng. Có thể nói các vụ hack đều xảy ra theo mô tuýp này, nên cơ bản là chúng giống nhau.

Bây giờ thử tưởng tượng Facebook chính là cái sàn crypto mà bạn thường xuyên giao dịch. Bạn là 1 trong 50 triệu tài khoản của sàn. Bạn sẽ thấy 2 câu chuyện này chẳng khác gì nhau.

Hacker hoàn toàn có khả năng hack vào tài khoản của bạn thông qua cái mã API Key nếu bạn có sử dụng tính năng này của sàn. API Key (application programming interface key) là một đoạn mã mà các chương trình máy tính dùng để tương tác với nhau, và để xác thực và kết nối một ứng dụng bên ngoài nền tảng tới trang chủ của nền tảng đó. Nôm na anh em dùng cái API Key này để đăng nhập vào các ứng dụng bên thứ ba, ví dụ Coinstat, TabTrader, Coinigy để các ứng dụng này liên kết trực tiếp tới tài khoản trên sàn của anh em. Từ đó có thể giao dịch, xem thông tin tài khoản thông qua các ứng dụng này mà không cần phải lên sàn.

Anh em thấy cái API Key này quen quen chứ, nó thực ra rất giống access token của Facebook. Cả 2 đều là các đoạn mã để các nền tảng máy tính tương tác với nhau, và đều dùng để nhận diện người nào là bạn, để truy xuất các thông tin của bạn cho đúng. Và tương tự acccess token, API Key cũng có thể bị lợi dụng để hack vào tài khoản giao dịch.

Thực tế tầm tháng 4-5 vừa qua, Binance đã bị dính 1 vụ hack do lỗ hổng API Key này. Hacker lợi dụng độ lỏng lẻo và non nớt của hệ thống API Key trên Binance để truy cập được vào các tài khoản trade và đặt lệnh theo ý họ. Đương nhiên là hacker chỉ truy cập được vào các tài khoản có sử dụng API Key, tương tự lần này hacker Facebook chỉ hack được vào tài khoản có xài tính năng View As. Ở cả 2 trường hợp, mật khẩu đều không bị đe doạ. Nói cách khác, 2 vụ hack này là hoàn toàn giống nhau.

 

Làm gì để không bị hack tài khoản Facebook và tài khoản giao dịch?

Đơn giản thôi, là không dùng 2 tính năng View As của Facebook và API Key của sàn. Hacker sẽ không truy cập được vào tài khoản của bạn ít nhất là thông qua đường này, nhưng không có nghĩa là không có đường khác.

 ​

Có 1 cách hay hơn, và giảm tới mức tối thiểu khả năng tài khoản của bạn bị đánh cắp. Đó là sử dụng Google Authenticator cho tất cả các tài khoản quan trọng: tài khoản trade, Facebook, Email, Internet Banking, vv. Google Authen là 1 ứng dụng trên điện thoại sẽ liên kết tới tài khoản của bạn, tạo ra 1 đoạn mã số để bất cứ khi nào có yêu cầu đăng nhập, hệ thống sẽ đòi bạn nhập vào mã số đó. Do đó không ai có thể đăng nhập vào tài khoản của bạn, bất kể là thông qua API Key hay access token.

Trên đây là tổng quan về vụ hack Facebook sáng nay, và là 1 bài học kinh nghiệm cho bất cứ ai từng giao dịch trên thị trường cryptocurrency, 1 thị trường bảo mật kém

Có thể bạn quan tâm
Các phiên giao dịch Forex theo giờ Việt nam

Các phiên giao dịch Forex theo giờ Việt nam

Cách đọc mô hình nến chuẩn xác dành cho các Trader!!!

Cách đọc mô hình nến chuẩn xác dành cho các Trader!!!

Tin Non Farm Bản tin việc làm phi nông nghiệp Mỹ

Tin Non Farm Bản tin việc làm phi nông nghiệp Mỹ

Top 10 sàn giao dịch Forex uy tín và tốt nhất hiện nay

Top 10 sàn giao dịch Forex uy tín và tốt nhất hiện nay

Quản lý vốn theo Tiêu chuẩn KELLY Formula – Công thức của Thần May Mắn

Quản lý vốn theo Tiêu chuẩn KELLY Formula – Công thức của Thần May Mắn

1 ounce vàng bằng bao nhiêu lượng vàng (cây vàng )

1 ounce vàng bằng bao nhiêu lượng vàng (cây vàng )

Dạy học Forex miễn phí đào tạo trade coin đầu tư chứng khoán giao dịch ngoại hối chơi tiền ảo crypto BO

Dạy học Forex miễn phí đào tạo trade coin đầu tư chứng khoán giao dịch ngoại hối chơi tiền ảo crypto BO

Tin FOMC Statement Tuyên bố ủy ban thị trường liên bang Mỹ

Tin FOMC Statement Tuyên bố ủy ban thị trường liên bang Mỹ

Phương pháp sử dụng công cụ Volume hiệu quả

Phương pháp sử dụng công cụ Volume hiệu quả

Sách Price Action tiếng Việt của tác giả Galen Woods ( có bản gốc tiếng anh )

Sách Price Action tiếng Việt của tác giả Galen Woods ( có bản gốc tiếng anh )

Hướng dẫn xem SPDR Gold Trust mua bán

Hướng dẫn xem SPDR Gold Trust mua bán

Trader có thể kiếm tiền với tài khoản 100 USD chứ ?

Trader có thể kiếm tiền với tài khoản 100 USD chứ ?

Khám phá một ngày làm việc trader toàn thời gian tại gia

Khám phá một ngày làm việc trader toàn thời gian tại gia

NHỮNG LỜI KHUYÊN SÂU SẮC TỪ CÁC BẬC THẦY ĐẦU TƯ

NHỮNG LỜI KHUYÊN SÂU SẮC TỪ CÁC BẬC THẦY ĐẦU TƯ

Trả lời

GIỚI THIỆU

Forexprocenter.com là một hệ thống mở, tổng hợp thông tin kinh tế, đầu tư, tài chính, kinh doanh. Truy cập, sử dụng website này bạn phải chấp nhận Quy định, tự chịu trách nhiệm khi sử dụng thông tin. 
HCM : 268 Lý Thường Kiệt, Q10
HN : 17 Tạ Quang Bửu
Chính sách bảo mật

DMCA.com Protection Status

LIÊN HỆ

Email: [email protected]

Cảnh báo rủi ro. Lưu ý rằng CFDs là sản phẩm có đòn bẩy và có thể dẫn đến thua lỗ tất cả số vốn đã đầu tư

forexlienminhtrader.com