Ảnh chụp màn hình thông báo phát hiện lỗi trên Yahoo 360. |
Trưởng ban biên tập website nhacso.net Nguyễn Ngọc Long, người đã phát hiện ra lỗ hổng có thể giúp hacker trộm tài khoản của người sử dụng, kể lại: "Chính tôi cũng bị mất mật khẩu và lấy lại được vì nhớ thông tin cá nhân khi đăng ký. Tôi kiểm tra mailbox của blog và phát hiện ra một e-mail lạ. Khi nhấn vào thư này, đường dẫn của Yahoo sẽ tự động chuyển qua một trang đăng nhập Yahoo nhưng xuất phát từ tên miền không thuộc sở hữu của nhà cung cấp dịch vụ".
Ông Long khẳng định đây chính là một dạng phishing (giả mạo website để ăn cắp thông tin cá nhân). Về nguyên tắc, khi thiết kế hệ thống, lập trình viên phải chặn và lọc tất cả dữ liệu được truyền vào từ phía người sử dụng, loại bỏ mã java script nguy hiểm, mã HTML không mong muốn. Trong hầu hết các trường hợp, để chắc chắn lập trình viên mặc nhiên không cho phép member đưa mã java script vào dữ liệu lưu trên máy chủ. Nhưng lỗ hổng của Yahoo 360 đã "bỏ quên" điều này.
Yahoo 360 - bỏ thì thương, vương thì tội
Người dùng Yahoo 360 dễ bị lừa tự tay xóa blog
"Tôi đã thông báo đến nhóm phát triển Yahoo 360 và hy vọng lỗi này sẽ sớm được khắc phục. Theo tôi, trước mắt mọi người không nên truy cập vào hộp thư trong blog, đặc biệt chú ý tên miền của các trang web yêu cầu đăng nhập, nếu thấy nó không xuất phát từ http://login.yahoo... hoặc https://login.yahoo....", Trưởng ban biên tập nhacso.net nói.
Lỗ hổng Cross Site Scripting cho phép hacker chạy một đoạn mã java script tại máy tính người truy cập và có thể ăn cắp thông tin cá nhân được lưu trong máy tính của người dùng dưới dạng cookie trình duyệt, giả mạo website đăng nhập để ăn cắp thông tin cá nhân. |
Việt Thi