Mới hồi cuối tuần trước, hacker bằng cách nào đó đã có được những hình ảnh riêng tư của các ngôi sao nổi tiếng của Hollywood và tung lên Internet gây xôn xao cộng đồng mạng. Tuy nhiên, những vụ rò rỉ hình ảnh nhạy cảm như vậy không phải là mới, bởi trước đây sự việc tương tự cũng từng xảy ra trên quy mô lớn.

Ngay sau vụ rò rỉ, một giả định cho rằng có thể một số hình ảnh đã bị đánh cắp trực tiếp từ tài khoản iCloud của những người nổi tiếng. Song, đến nay vẫn chưa có bằng chứng cụ thể nào được đưa ra. Apple và FBI vẫn đang phối hợp điều tra và hi vọng sẽ sớm có kết quả.

Một số thông tin cho rằng việc truy cập trái phép vào tài khoản của nạn nhân là sự kết hợp của nhiều yếu tố. Đầu tiên là một lỗ hổng nhỏ trong nền tảng iCloud cho phép nhập mật khẩu với số lần không giới hạn để mở tài khoản. Thông thường, một trang web sẽ khóa tài khoản khi một người nào đó cố gắng đăng nhập nhiều hơn 3-5 lần mà không thành công. Trong khi giao diện bình thường của ứng dụng iCloud, giao diện “Find mi iPhone” lại “thiếu” sự hạn chế này.

Chính từ lỗ hổng này, tin tặc có thể thực hiện kĩ thuật "bruteforce" - thử hàng loạt từ và cụm từ để đoán mật khẩu cho đến khi tìm được mật khẩu chính xác. Theo Kaspersky, tội phạm mạng có thể đã sử dụng một ứng dụng nguồn mở đã trở nên khá phổ biến trên các trang dành cho tội phạm gần đây như GitHub. Ứng dụng độc hại này sẽ khai thác lỗ hổng (hiện đã được Apple vá) trong dịch vụ Find Mi iPhone để có thể đoán mật khẩu iCloud nhiều lần mà không bị khóa. Bên cạnh đó, nhiều người nổi tiếng có lẽ đã bỏ qua việc tạo mật khẩu mạnh; và chọn những mật khẩu rất đơn giản. Hacker có thể chỉ cần thử khoảng 500 mật khẩu phổ biến theo kiểu “bruteforce” là đã có được kết quả.

Thực tế, Apple đã cung cấp một dịch vụ bảo vệ khỏi những cuộc tấn công như thế này bằng cách thực hiện việc xác minh 2 bước (2-step verification), nhưng nhiều nạn nhân đã bỏ qua công cụ hiệu quả này.

Theo một số báo cáo, Apple đã vá lỗi trên chỉ vài giờ sau khi những hình ảnh nhạy cảm bị phát tán. Và sau đó một ngày, tài khoản iCloud được cho là không thể bị tấn công theo kiểu “bruteforce” nữa. Tuy nhiên, không có gì đảm bảo rằng không tồn tại một lỗ hổng nguy hiểm nào khác.

Trước tình hình này, Christian Funk, nhà nghiên cứu cấp cao về bảo mật tại Kaspersky Lab đã đưa ra một số khuyến cáo để tránh bị rò rỉ dữ liệu cá nhân thông qua máy tính, thiết bị di động hoặc các dịch vụ điện toán đám mây như sau:

Trước hết người dùng nên sử dụng các loại mật khẩu mạnh và chỉ sử dụng một mật khẩu cho một tài khoản dịch vụ. Kích hoạt tính năng xác thực 2 bước, sử dụng giải pháp bảo mật thiết bị đầu cuối để bảo vệ thiết bị của bạn, vì mỗi thiết bị là một lối vào dịch vụ lưu trữ đám mây. Bên cạnh đó, người dùng cũng nên chọn lọc, phân loại thông tin trước khi lưu vào các kho lưu trữ trực tuyến. Và hãy tập thói quen hạn chế lưu trữ các dữ liệu nhạy cảm trên thiết bị di động vì khả năng có thể bị thất lạc. Tuy nhiên, trong trường hợp bất khả kháng, hãy đảm bảo rằng tính năng tự động sao lưu hình ảnh/video lên các kho lưu trữ đám mây cần phải được khóa.

Ngoài ra, trước khi chia sẻ dữ liệu cá nhân hoặc cho phép một ai đó có được một hình ảnh của bạn, hãy chắc chắn rằng những thiết bị đó đủ an toàn để bảo vệ dữ liệu cá nhân của bạn.

Theo PC World VN.



Bình luận

  • TTCN (0)