Làm cách nào hacker có thể đột nhập vào hàng triệu tài khoản Yahoo mà không cần biết mật khẩu?

Vừa qua, Sở Tư pháp Mỹ đã buộc tội 4 hacker nước Nga và 1 hacker nước Canada vì đã đứng sau sự việc rò rỉ dữ liệu của Yahoo, khiến một số lượng lớn tài khoản bị đánh cắp dữ liệu. Chi tiết tại đây.

Sự việc đã khiến hơn 500 triệu tài khoản Yahoo đã bị đánh cắp thông tin, và đây được coi là một trong những vụ hack lớn nhất lịch sử.

Họ đã làm điều đó như thế nào?

Về mặt cơ bản, các hacker đã tìm cách nắm giữ một chỉ mục có chứa tên các tài khoản Yahoo, mật khẩu đã mã hoá và các thông tin khác. Sau đó bọn chúng đã sử dụng các thông tin đó để "lừa" Yahoo, khiến hệ thống nghĩ trình duyệt đã đăng nhập với dịch vụ Yahoo trước đó. Đây là một kỹ thuật hack rất thông minh vì nó không cần phải giải mã mật khẩu.

Vụ hack trên còn bao gồm việc tạo ra một trang web giả giống y hệt Yahoo để ăn cắp thông tin người dùng. Tuy cách này đã cũ và dễ dàng phòng tránh, nhưng vẫn có nhiều người không am hiểu công nghệ bị "dính bẫy".

"Trang vàng Yahoo" và các cookie giả

Khi người dùng truy cập vào một website nào đó, họ sẽ để tại "vết tích" ở trên máy tính, và nó được gọi là cookie. Tệp tin cookie sẽ chứa thông tin của người dùng, bao gồm cả thời gian đăng nhập và thông tin tài khoản. Sau đó, khi người dùng truy cập lại website đó, nó sẽ kiểm tra xem người dùng có cookie hay chưa, và kiểm tra cookie đó còn hạn hay hết hạn.

Nhiều website cho phép người dùng giữ trạng thái đăng nhập trong 30 ngày. Như vậy miễn cookie của người dùng chưa hết hạn, họ sẽ không cần nhập mật khẩu mỗi khi đăng nhập trang web nào đó, vì website nghĩ rằng người dùng đã đăng nhập trước đó rồi qua tập tin cookie.

Các hacker có "công thức" cho cookie của Yahoo qua những thông tin mà bọn chúng ăn cắp. Do đó chúng có thể tạo ra một cookie giả cho bất cứ tài khoản Yahoo nào. Về mặt cơ bản, cookie giả sẽ đánh lừa website, ví dụ như Yahoo Mail, để website nghĩ rằng người dùng đã đăng nhập. Kết quả là toàn bộ tài khoản có thể được đăng nhập một cách trái phép mà không cần đến mật khẩu.

Bằng cách thức trên, các hacker đã đột nhập thành công 6500 tài khoản Yahoo, bao gồm tài khoản của các nhà chính trị và nhà báo/phóng viên. Ngoài ra, bọn chúng còn dùng 30 triệu tài khoản cho chiến dịch spam để kiếm thêm tiền.

Qua sự việc trên, chúng ta đã biết được rằng hacker có thể lấy tài khoản của chúng ta ngay cả khi bọn chúng không có mật khẩu tài khoản.

Tham khảo Business Insider