Hacker đã lợi dụng lỗ hổng email trên Reddit để đánh cắp hàng ngàn Bitcoin Cash như thế nào?
Hơn 2 tuần trước, cộng đồng mạng Reddit ủng hộ Bitcoin Cash (BCH) đã rộ lên thông tin nhiều tài khoản đang bị can thiệp bởi một phương thức tấn công mới đáng lo ngại.
Mới nghe qua có lẽ nhiều người sẽ nghĩ đến một cuộc đấu đá nội bộ giữa một bên là người dùng Bitcoin và một bên là đối thủ Bitcoin Cash, tuy nhiên hôm nay trang mạng xã hội nổi tiếng này đã chính thức công bố rằng đây là một vụ hack "vô tiền khoáng hậu" mở cửa cho các hacker truy cập vào các tài khoản Reddit được nhắm đến từ trước. Hơn thế nữa, các hacker còn lợi dụng lỗ hổng này để đánh cắp hàng ngàn USD dưới hình thức Bitcoin Cash (BCH).
Đầu tiên, các hacker đã tấn công tài khoản của một điều hành viên của kênh r/btc trên Reddit vào ngày 20/12. Nắm trong tay quyền truy xuất admin của tài khoản này, những kẻ tấn công đã tái cấu hình kênh r/btc sang kênh đối thủ là r/bitcoin.
Tài khoản Jessquit tóm tắt vụ việc này vào hôm 31/12 như sau:
"Tài khoản của tôi đã bị hack vài tiếng trước và mật mã đã bị thay đổi. Kẻ tấn công có thể đổi mật mã thông qua phương thức gởi một email khôi phục mật mã, sau đó bấm vào đường link trong email để reset mật mã đó dù tôi đã kích hoạt xác thực hai bước trên tài khoản Reddit và email của tôi không hề bị can thiệp".
Lỗ hổng này cho phép hacker yêu cầu reset mật mã của một tài khoản đã nhắm đến từ trước và bấm vào link reset mà không cần mở email. Làm thế nào mà việc này lại có thể thực hiện được? Nhiều giả thuyết đã được đưa ra, liệu có phải những người dùng Reddit trên kênh r/bitcoin đã gây sự, hay một admin của Reddit đã trở mặt?
Nhưng những gì mà người ta phát hiện ra được lại hoàn toàn khác. Nguyên nhân của vụ việc này xuất phát từ một tài khoản bot có tên là Tippr, vốn được dùng để khen thưởng cho một bình luận đặc biệt thú vị hoặc có ý nghĩa. Phương thức hoạt động của nó là đánh dấu một người dùng (được khen thưởng) và chỉ định một lượng tiền mã hoá nhất định, sau đó rút số BCH tương ứng từ "ví nóng" của bạn và chuyển nó đến người đó. Tipper hiện hoạt động trên cả Reddit lẫn Twitter (nơi nó cung cấp dịch vụ quyên góp cho các dự án nặng ký như Tor Project), thì việc rút tiền mã hoá từ các nguồn là khá dễ dàng.
Rob Danielson - người tạo ra Tippr - tin rằng thủ phạm có thể là "một kẻ nào đó nhận thấy chúng có cơ hội kiếm tiền nhanh bất ngờ". Theo anh, những kẻ tấn công đã cuỗm số tiền đâu đó khoảng từ 2000-4000 USD dưới hình thức BCH, bằng cách sử dụng các tài khoản (quản trị viên) bị hack để đưa ra lệnh rút tiền từ Tippr thông qua các tin nhắn cá nhân (pm) của Reddit.
Đây không phải là lần đầu tiên một con bot thu tiền tip trên Reddit gây ra vụ việc mất tiền. Tám tháng trước, cộng động Dogecoin đã choáng váng bởi một bài viết từ người tạo ra con bot dogetipbot cho biết anh này và các cộng sự đã "chôm" toàn bộ một quỹ từ thiện để tài trợ cho công việc kinh doanh đang bết bát của mình. Vụ việc Tippr cũng có một số điểm tương tự và cũng làm dấy lên những thuyết âm mưu như vụ Dogetipbot, dù Danielson đã ngay lập tức hành động để ngăn chặn vụ việc tiến xa hơn.
"Sau khi phát hiện vụ việc, tôi đã ngừng kích hoạt chức năng của Tippr trên Reddit" - anh này cho biết.
Sáng nay, Reddit đã đưa ra phản hồi thông qua tài khoản của kỹ sư u/gooeyblob, khẳng định lỗi này không phải do người dùng Reddit nào, mà xuất phát từ Mailgun - một dịch vụ bên thứ 3 mà Reddit sử dụng để gởi các email tự động. Reddit ước tính số lượng tài khoản bị can thiệp chưa tới 20.
"Một kẻ nào đó đã nhắm vào Mailgun và chiếm quyền kiểm soát các email reset mật mã của Reddit. Bản chất của lỗ hổng này là một người chưa được cấp phép có thể truy cập vào nội dung các email reset mật mã. Kẻ gây ra việc này không có quyền truy cập đến hệ thống của Reddit lẫn tài khoản email của người dùng Reddit nào. Chúng tôi đã quyết định chuyển các email reset mật mã sang một máy chủ email của chính mình".
Mailgun cũng đã xác nhận vụ việc này và khẳng định "các thông tin thanh toán của khách hàng không bị can thiệp". Theo Mailgun thì chưa đến 1% số khách hàng của họ bị ảnh hưởng bởi vụ việc.
Dù Reddit và Mailgun đã khẳng định vấn đề đã được giải quyết, nhưng bạn cũng nên bật chế độ xác thực hai bước trên Reddit, email hay bất kỳ dịch vụ có chứa thông tin nhạy cảm nào mà bạn sử dụng trực tuyến.
Câu hỏi cuối cùng là ai là kẻ đứng sau vụ việc này, và số BCH bị đánh cắp hiện đang ở đâu? Hiện tại không ai biết được!
Tham khảo: Gizmodo
NỔI BẬT TRANG CHỦ
Tại sao nhân loại lại cần đến máy tính lượng tử, chúng được dùng để làm gì?
Điện toán lượng tử hiện tại vẫn còn cách xa khả năng ứng dụng rộng rãi, nhưng tiềm năng mà nó mang lại là không thể phủ nhận.
Huawei xác nhận ra mắt Mate 70: Dòng smartphone đầu tiên "đoạt tuyệt" hoàn toàn với Android