Hai năm trước, vào năm 2012, một trong những trang mạng xã hội trực tuyến phổ biến nhất Linkedin đã chi từ 500.000 đến 1 triệu đô la cho công việc pháp y sau khi hàng triệu mật khẩu tài khoản của người dùng bị xâm phạm trong một vụ vi phạm dữ liệu bảo mật lớn. Nhưng, có vẻ như công ty đã không học được bất kỳ bài học nào từ nó.
TẤN CÔNG MAN-IN-THE-MIDDLE (MitM) LÀ GÌ
Trước khi chuyển sang câu chuyện, chúng ta hãy thảo luận về một số mối đe dọa mới nổi và phổ biến đối với các trang mạng xã hội ngày nay. Nếu nói về tấn công ít công khai hơn nhưng nguy hiểm hơn, thì tấn công Man-in-the-Middle (MitM) là tấn công phổ biến nhất. Bằng cách cố gắng tấn công MitM, kẻ tấn công tiềm năng có thể chặn liên lạc qua internet của người dùng, lấy cắp thông tin nhạy cảm và thậm chí chiếm quyền điều khiển phiên.
Mặc dù các cuộc tấn công MitM rất phổ biến và đã tồn tại trong nhiều năm, nhưng phần lớn các trang web và trang mạng xã hội lớn nhất hiện nay vẫn chưa thực hiện các bước cần thiết để bảo vệ dữ liệu cá nhân và dữ liệu nhạy cảm của người dùng khỏi các lỗ hổng làm tăng mức độ nguy hiểm của loại tấn công này. các cuộc tấn công.
TẤN CÔNG DẢI SSL LINKEDIN
Mạng chuyên nghiệp phổ biến, LinkedIn đã khiến hàng trăm triệu người dùng của mình bị tấn công Man-in-the-Middle (MitM) do cách trang web sử dụng mã hóa Lớp cổng bảo mật (SSL) trong mạng của mình.
Không còn nghi ngờ gì nữa, LinkedIn đang sử dụng kết nối HTTPS cho các trang đăng nhập của người dùng, nhưng họ không sử dụng Bảo mật truyền tải nghiêm ngặt HTTP (HSTS) công nghệ ngăn bất kỳ thông tin liên lạc nào được gửi qua HTTP, thay vào đó hãy gửi tất cả thông tin liên lạc qua HTTPS.
Theo các nhà nghiên cứu tại Zimperium Mobile Threat Defense có trụ sở tại Israel, việc triển khai HTTPS/SSL kém cho phép tin tặc chặn liên lạc của người dùng bằng cách thay thế tất cả các yêu cầu “HTTPS” bằng dạng không được mã hóa của nó, “HTTP”, được gọi là “tước SSL”. ” tấn công.
“Khi kẻ tấn công đã trích xuất thông tin đăng nhập của người dùng, họ có thể sử dụng lại thông tin đăng nhập của người dùng hoặc cookie phiên để xác thực và giả mạo phiên chính xác,” đọc bài đăng trên blog.
VIDEO MINH HỌA
Trong một video trình diễn, các nhà nghiên cứu đã thực tế sử dụng công cụ này để chống lại trang web LinkedIn và do việc tước SSL, họ đã chặn một trong những tài khoản của người dùng bằng một cuộc tấn công MITM và lấy thành công thông tin tài khoản của người dùng và mọi người dùng mà họ đã kiểm tra đều dễ bị tấn công. cuộc tấn công này.
THÀNH PHẦN DỄ THƯƠNG
Bằng cách cố gắng tấn công MitM vào trang web, kẻ tấn công có thể lấy thông tin đăng nhập của người dùng LinkedIn, chiếm đoạt phiên của họ để có quyền truy cập vào tất cả thông tin LinkedIn khác và mạo danh người dùng. Những kẻ tấn công có thể làm nhiều việc bao gồm:
- Địa chỉ email
- Mật khẩu
- Đọc và gửi tin nhắn
- kết nối
- “Ai đã xem hồ sơ của tôi”
Kẻ tấn công có thể mạo danh người dùng để sử dụng bất kỳ tính năng nào của tài khoản, bao gồm:
- Gửi lời mời kết nối
- Chỉnh sửa hồ sơ của người dùng
- Chỉnh sửa tin tuyển dụng
- Quản lý trang công ty
“Vì vậy, không chỉ thông tin LinkedIn cá nhân của bạn gặp rủi ro mà còn nếu bạn là quản trị viên cho sự hiện diện trên LinkedIn của công ty, thì danh tiếng thương hiệu của công ty bạn cũng có thể bị tổn hại nếu một tác nhân độc hại giành quyền kiểm soát các bài đăng và liên lạc qua email trên LinkedIn,” đọc bài đăng trên blog.
TẤN CÔNG TỪ XA
Hơn nữa, lỗ hổng này trong LinkedIn không chỉ tồn tại khi kẻ tấn công tiềm năng ở trên cùng một mạng với nạn nhân được nhắm mục tiêu.
Để thực hiện cuộc tấn công MITM từ xa, kẻ tấn công có thể thỏa hiệp một thiết bị và khi thiết bị đó xâm nhập vào một mạng khác, kẻ tấn công đó có thể sử dụng thiết bị của nạn nhân từ xa để thực hiện cuộc tấn công trung gian vào những người dùng khác trên mạng của nạn nhân.
LINKEDIN TRIỂN KHAI HTTP THEO MẶC ĐỊNH, NHƯNG RẤT CHẬM
Các nhà nghiên cứu từ Zimperium lần đầu tiên báo cáo một cách có trách nhiệm về lỗ hổng nghiêm trọng ‘chiếm quyền điều khiển phiên’ này cho nhóm bảo mật LinkedIn vào tháng 5 năm 2013. Mặc dù đã liên hệ với LinkedIn sáu lần trong năm qua nhưng nhóm đã không phản hồi một cách nghiêm túc.
Sau đó từ tháng 12 năm 2013, LinkedIn bắt đầu chuyển trang web sang HTTPS mặc định và mới tuần trước họ đã nâng cấp thành công người dùng Hoa Kỳ và Châu Âu lên Mạng HTTPS mặc định. Do triển khai SSL mặc định chậm, Zimperium cuối cùng đã triển khai công khai lỗ hổng bảo mật.
Người phát ngôn của LinkedIn, Nicole Leverich cho biết vấn đề được mô tả bởi Zimperium “không ảnh hưởng đến đại đa số thành viên LinkedIn do chúng tôi phát hành https trên toàn cầu liên tục theo mặc định.“
CÁCH BẬT HTTPS ĐẦY ĐỦ THEO CÁCH THỦ CÔNG
Tuy nhiên, vào năm 2012, LinkedIn cung cấp cho người dùng tùy chọn thay đổi cài đặt bảo mật của họ thành HTTPS đầy đủ theo cách thủ công, nhưng nhiều người có thể chưa biết về nó. Bạn có thể kích hoạt nó bằng cách vào cài đặt LinkedIn của mình, Mở tab “tài khoản” và Nhấp vào “quản lý cài đặt bảo mật” để chọn HTTPS đầy đủ.
