Lỗ hổng bảo mật trong giao thức xác thực hai yếu tố của Uber
Gần đây, Uber đang gặp nhiều vấn đề về bảo mật và an toàn thông tin. Chỉ hai tháng sau khi Uber thừa nhận đã che giấu sự cố rò rỉ thông tin nhạy cảm của 57 triệu khách hàng và tài xế, một lỗ hổng cho phép tin tặc vượt qua xác thực hai yếu tố (2FA) lại mới được phát hiện.
Nhà nghiên cứu Karan Saini giải thích rằng, khi đăng nhập có 2FA với địa chỉ thư điện tử và mật khẩu, bất kỳ ai cũng có thể vượt qua 2FA bằng cách chuyển sang tên miền phụ “help” của Uber tại cùng phiên trình duyệt, khi nhập lại địa chỉ thư điện tử và mật khẩu thì sẽ đăng nhập được mà không phải nhập mã 2FA.
Ông Rob Fletcher, Quản lý An ninh Uber đã trả lời với nhà nghiên cứu rằng, lỗ hổng này “đã được lường trước”.
Theo hãng tin tức ZDNet, nhà nghiên cứu cũng báo cáo lỗ hổng cho tổ chức HackerOne (Hoa Kỳ) để tham gia chương trình bug bounty (nhận tiền thưởng khi phát hiện lỗ hổng bảo mật), nhưng đã bị từ chối và chỉ được đánh giá đây là một thông tin bổ ích.
John Gunn, Giám đốc tiếp thị của hãng bảo mật thông tin VASCO Data Security cho biết, việc dễ dàng vượt qua xác thực hai yếu tố không thể là sự cố “đã được lường trước”, đây là lỗ hổng thực sự nghiêm trọng. Theo ông, nếu Uber không đánh giá việc bảo vệ an ninh cơ bản là nghiêm trọng, thì không biết điều gì mới được xem xét là nghiêm trọng. 2FA là phương thức bảo mật an toàn nếu được triển khai đúng và đây là điều có thể dễ dàng thực hiện.
Trong khi đó, theo Craig Young, nhà nghiên cứu an ninh máy tính của công ty phần mềm bảo mật Tripwire (Hoa Kỳ), 2FA là một phương thức kiểm soát an ninh quan trọng. Ông giải thích rằng, phản hồi của Uber có nghĩa là họ đang nghiên cứu để quyết định thời điểm xác minh mã SMS, và người dùng sẽ có thể không cần nhận mã 2FA mỗi lần đăng nhập. Nếu không biết chi tiết cụ thể của kỹ thuật này, thì không thể đánh giá rằng đây có phải là một lỗ hổng chính đáng hay không. Ông cho rằng những chi tiết từ báo cáo là công khai và phản ứng của Uber ít nhiều thích hợp với phạm vi chương trình tiền thưởng của họ.
Thảo Uyên
Theo SC và ZDNet