Uber, Fitbit, OkCupid tiết lộ lỗ hổng 'CloudBleed' | SecurityBox

Thậm chí cả Uber, Fitbit và OkCupid cũng bị mất mất khẩu chỉ vì Cloudbleed. Không chỉ vậy, có tới 3400 websites khác cũng bị ảnh hưởng bởi lỗ hổng bảo mật này.
Theo SecurityBox nhận được,  John Graham-Cumming, giám đốc kỹ thuật của công ty an ninh mạng CloudFlare cho biết: "Lỗi này gây hậu quả nghiêm trọng tới việc rò rỉ thông tin cá nhân, bởi vì nó đã được lưu trữ bởi các ông cụ tìm kiếm như google, bing”

Chuyên gia bảo mật Google Tavis Ormandy đã xác định các lỗ hổng và đưa nó đến sự chú ý vào cuối tuần trước CloudFlare. Ormandy cho biết ông thấy "tin nhắn từ các trang web lớn hẹn hò, dịch vụ chat nổi tiếng có chứa hàng loạt các dữ liệu về mật khẩu, thông tin cá nhân. Thậm chí những dịch vụ đặt phòng khách sạn hay những websites chứa video cũng bị rò rỉ mật khẩu.

Trong báo cáo về các lỗi, Ormandy nói đùa rằng anh đã nghĩ về việc đặt tên cho lỗ hổng này là "CloudBleed." Cái tên này đã gợi nhớ tới:  Heartbleed- một lỗ hổng trong giao thức web mà tiếp xúc với lưu lượng internet nhạy cảm trong nhiều năm cho đến khi nó được phát hiện vào năm 2014.  



Tìm hiểu về SecuirityBox tại 
Facebook: Dịch vụ an ninh mạng - SecurityBox

1.Nguồn gốc của lỗ hổng này:

Lỗ hổng này có nguồn gốc từ một công cụ được sử dụng rộng rãi cung cấp bởi CloudFlare. Công cụ này chuyên dùng để quản lý và bảo vệ lưu lượng internet cho các trang web bị ảnh hưởng. Ngoài tên người dùng và mật khẩu, các thông điệp được gửi qua bất kỳ của những nền tảng này - và bất kỳ thông tin khác được gửi thông qua trình duyệt web tới các trang web khác cũng bị ảnh hưởng.

Graham-Cumming cho biết tổng số 3.400 trang web đã được sử dụng các công cụ có chứa các lỗ hổng và khẳng định rằng Uber, Fitbit và OkCupid cũng nằm trong số những người bị ảnh hưởng. Đồng thời, ông cũng phát hiện dữ liệu có trong dịch vụ quản lý mật khẩu của 1Password.Tuy nhiên, Jeffrey Goldberg 1Password, chuyên về bảo mật của công ty, đã viết vào ngày thứ năm rằng thông tin người dùng đã được an toàn.

Còn về Uber. Uber nói rằng mật khẩu không được tiếp xúc và rằng "chỉ có một số ít các session tokens bị ảnh hưởng và từ đó có thể được thay đổi. Fitbit cho biết họ đã được đánh giá bất kỳ tác động tiềm năng về sử dụng hệ thống của mình từ vấn đề CloudFlare, và đã thực hiện một số biện pháp nội bộ để ngăn chặn bất kỳ thiệt hại trong tương lai.

2. Cloudbleed gây ra sự nguy hiểm gì ?

Graham-Cumming cho biết người dùng không cần phải lo lắng về việc thay đổi mật khẩu của họ, bởi vì việc thông tin đăng nhập của họ đã được tìm thấy bởi một ai đó.

Tuy nhiên, trong báo cáo của mình về lỗi này, nhà nghiên cứu google Ormandy cho biết việc tiết lộ của CloudFlare  đã hạ thấp tầm quan trọng của lỗ hổng.
Ormandy cho biết, thông qua email, ông nghĩ rằng nó sẽ là một ý tưởng tốt cho người dùng của các trang web có sử dụng CloudFlare để thay đổi mật khẩu của họ. Các công ty mà chạy trang web mình cũng nên thay đổi nội bộ, như các công cụ mà họ sử dụng để bảo mật thông tin người sử dụng và các thông tin được tiếp cận.

>> Đây là lỗ hổng bảo mật nghiêm trọng, SecurityBox khuyên bạn nên để mật khẩu 2 lớp và để mật khẩu chứa các ký tự như ký tự in hoa, số, dấu gạch dưới…Hãy để mật khẩu mà các hacker, bạn bè mình khó đoán.  





Google Account Video Purchases Đội Cấn, Ba Đình, Hà Nội, Việt Nam

Bài đăng phổ biến từ blog này

Quy trình Pentest tổng thể chuẩn quốc tế

Penetration Testing hay thường gọi là “pentest” hoặc “security testing” có thể hiểu đơn giản là đánh giá độ an toàn bằng cách tấn công vào hệ thống (gọi là đánh trận giả). Người thực hiện một thử nghiệm xâm nhập được gọi là kiểm tra xâm nhập hoặc pentester. Một dịch vụ pentest tổng thể sẽ giúp bạn phát hiện sớm nguy cơ, lỗ hổng trên các thiết bị và ứng dụng, kịp thời ngăn chặn kẻ tấn công khai thác điểm yếu, có các phương án vá lỗ hổng kịp thời, giảm thiểu những nguy cơ mất an toàn thông tin và sự cố tấn công mạng xảy ra, nâng cao năng lực cạnh tranh của Doanh nghiệp so với các đơn vị khác đặc biệt là lĩnh vực kinh doanh về thương mại điện tử hay các ngân hàng đang phát triển dịch vụ ngân hàng điện tử. Pentest tổng thể theo quy trình 7 bước chuẩn quốc tế Bước 1: Nghiên cứu sơ bộ hệ thống Bước 2: Tư vấn phương pháp đánh giá Bước 3: Kiểm tra và đánh giá rủi ro an ninh mạng Bước 4: Báo cáo kết quả đánh giá an ninh mạng Bước 5: Hỗ trợ khắc phục nguy cơ an ninh mạng Bước 6: Bảo h
Tiếp tục đọc

Tình trạng các website sân bay và hãng hàng không tại Việt Nam

Hình ảnh
Tình trạng các website sân bay và hãng hàng không tại Việt Nam tính đến thời điểm hiện tại 13h30 phút chiều 10/3/2017 .  thống kê của SecurityBox về hiện trạng  các website của hãng bay, cảng hàng không tại việt nam mùng 10 tháng 3 năm 2017 thống kê của SecurityBox về hiện trạng  các website của hãng bay, cảng hàng không tại việt nam mùng 10 tháng 3 năm 2017 >> XEM THÊM:   CHI TIẾT WEBSITE CỦA HÃNG BAY TÂN SƠN NHẤT, RẠCH GIÁ BỊ HACK
Tiếp tục đọc

Tuyệt chiêu đảm bảo an toàn trên mạng xã hội

Hình ảnh
Tuyệt chiêu đảm bảo an toàn trên mạng xã hội Trong thời đại liên kết mạnh mẽ của thế giới số, chắc hẳn tất cả mọi người để sở hữu cho mình ít nhất 1 tài khoản xã hội để có thể: chia sẻ cuộc sống, liên kết bạn bè, trao đổi thông tin với đồng nghiệp, bán hàng online...Vậy làm thế nào để bảo vệ tài khoản cá nhân, tránh rò rỉ thông tin trước nguy cơ bên ngoài. SecurityBox hướng dấn bạn tuyệt chiêu để giữ an toàn trên mạng cho tài khoản của mình qua bài viết dưới đây. 1. Sử dụng mật khẩu mạnh, bảo mật mật khẩu 2 lớp Các mạng xã hội lớn hiện này đều đưa ra quá trình xác minh hai bước nhằm tăng thêm khả năng bảo mật cho bạn: thêm một bước phụ mỗi khi chúng ta đăng nhập vào tài khoản của mình từ một máy tính hoặc thiết bị khác. Biện pháp này sẽ khiến cho những kẻ xấu cần nhiều yếu tố khác ngoài tên đăng nhập và mật khẩu để truy cập vào tài khoản của bạn trên một trình duyệt hoặc điện thoại bạn chưa bao giờ dùng trước đây, do mã đăng nhập sẽ được gửi qua tin nhắn SMS một ứng dụng trên di
Tiếp tục đọc