
Twitter bị hack hàng loạt: Những tin đồn và sự thật đằng sau
Tuyển chọn TechFlowTuyển chọn TechFlow

Twitter bị hack hàng loạt: Những tin đồn và sự thật đằng sau
Twitter cho biết trong thời gian điều tra, chức năng đăng tweet và đặt lại mật khẩu của một số người dùng có thể sẽ không sử dụng được
Nguồn|CertiK
“Anh đưa tôi 100 tệ lì xì, ngày mai tôi trả lại anh 200 được không.”
Người dám phát lì xì với niềm tin chắc chắn sẽ nhận lại được, có lẽ chỉ có thể là người mình tin tưởng nhất. Các chương trình pháp luật thường xuyên chiếu những vụ lừa đảo tương tự để cảnh tỉnh mọi người. Nhưng bản chất của việc mắc bẫy vẫn nằm ở hai chữ: "tin tưởng".
Vào khoảng 3 giờ sáng theo giờ Bắc Kinh ngày 16 tháng 7 năm 2020, nhóm nghiên cứu an ninh CertiK phát hiện nhiều tài khoản nổi tiếng có ảnh hưởng lớn trên trang mạng xã hội Twitter đã bị đánh cắp. Tất cả các tài khoản bị đánh cắp này đều đăng thông tin lừa đảo tiền điện tử Bitcoin như sau.
“Để tri ân mọi người (để ủng hộ Bitcoin), tôi sẽ hoàn lại tiền cho tất cả mọi người. Chỉ cần bạn chuyển 1000 đô la Mỹ đến địa chỉ dưới đây, tôi sẽ hoàn lại cho bạn 2000 đô la Mỹ. Sự kiện chỉ diễn ra trong vòng 30 phút!”
Ảnh chụp màn hình từ chuyên gia an ninh CertiK
Cuộc tấn công bắt đầu từ lĩnh vực blockchain, như CEO sàn giao dịch Gemini, Coinbase, Binance Zhao Changpeng, CEO Tron là Sun Yuchen, phương tiện truyền thông blockchain Coindesk, đều bị tấn công và đăng tin liên quan.

Tất cả hình ảnh trên đều từ ảnh chụp màn hình của chuyên gia an ninh CertiK
Sau đó, sự việc lan truyền nhanh chóng trên Twitter, bao gồm cả Bill Gates, nhà sáng lập Amazon Jeff Bezos, nhà sáng lập Bloomberg, tài khoản chính thức của Apple, CEO Tesla Elon Musk, ca sĩ nổi tiếng Kanye West, cựu Tổng thống Mỹ Obama và Joseph Biden, không ai thoát khỏi.
Hacker đã tấn công vào trang mạng xã hội Twitter – một nền tảng mà hầu như không ai tin rằng ngay cả tài khoản cựu Tổng thống Mỹ cũng có thể bị hack (mặc dù trước đó đã có nghi ngờ rằng tổng thống đương nhiệm của Mỹ đã bị hack). Tận dụng lòng tin của người dân đối với Twitter và uy tín công chúng của các nhân vật nổi tiếng, khiến mọi người tin rằng sự kiện này là thật.
Cho đến nay, tài khoản của hacker đã nhận được tổng cộng 12,86 BTC, tương đương 118.209 đô la Mỹ, hay 825.805 nhân dân tệ.

Tin đồn đang lan truyền trên mạng
1. Tài khoản nhân viên Twitter bị hack, hacker giành quyền truy cập vào giao diện quản trị
Ảnh chụp màn hình rò rỉ trên Telegram dường như là giao diện quản trị nội bộ của nhân viên Twitter. Hacker có thể sử dụng giao diện quản trị này để thay đổi email người dùng, sau đó gửi liên kết đặt lại mật khẩu đến email do chính họ kiểm soát, qua đó giành quyền kiểm soát tài khoản mục tiêu.
2. Hacker lợi dụng lỗ hổng mới được tiết lộ gần đây để tấn công máy chủ Twitter, chiếm quyền truy cập vào giao diện quản trị
Hôm qua, một lỗ hổng nghiêm trọng trên máy chủ DNS của Windows (CVE-2020-1350) đã được công bố, cho phép kẻ tấn công thực thi mã tùy ý từ xa bằng cách gửi một yêu cầu đặc biệt. Một số người đưa ra giả thuyết rằng: Twitter có một máy chủ MS DNS công khai chưa được vá lỗ hổng CVE-2020-1350, hacker đã tận dụng lỗ hổng này để chiếm quyền kiểm soát máy chủ. Vì máy chủ DNS Windows là thành phần mạng cốt lõi, lỗ hổng này có khả năng lây lan như sâu máy tính, không cần tương tác người dùng hay xác thực, hacker từ đó xâm nhập vào giao diện quản trị nội bộ Twitter, thay đổi email người dùng, gửi liên kết đặt lại mật khẩu về email do mình kiểm soát để chiếm quyền tài khoản mục tiêu.

Phản hồi chính thức từ Twitter
Hiện tại nguyên nhân các tài khoản bị hack vẫn chưa được công bố chính thức. Twitter đã phản hồi vào lúc 5h45 sáng theo giờ Bắc Kinh cùng ngày, cho biết sẽ nhanh chóng điều tra nguyên nhân.
Sau đó Twitter cho biết trong quá trình điều tra, chức năng đăng bài và đặt lại mật khẩu của một số người dùng có thể tạm thời không sử dụng được.
Các biện pháp và đề xuất bảo mật
Việc bị mất một vài tài khoản trên mạng xã hội có thể xảy ra thường xuyên, nhưng một cuộc tấn công quy mô lớn như vậy có thể được coi là một sự kiện lớn trong năm kỳ lạ 2020. Dưới đây, đội ngũ an ninh CertiK tổng hợp một số biện pháp tăng cường bảo mật tài khoản Twitter.
1. Hủy cấp quyền cho các ứng dụng đã được ủy quyền sử dụng tài khoản Twitter của bạn
Sau khi đăng nhập Twitter, vào More -> Settings and privacy -> Account -> Data and permissions -> Apps and sessions để xem các ứng dụng đã được cấp quyền truy cập dữ liệu Twitter và các phiên đăng nhập hiện tại. Đội ngũ an ninh CertiK khuyến nghị nên định kỳ kiểm tra các ứng dụng đã được cấp quyền, kịp thời gỡ bỏ những ứng dụng không cần thiết và đăng xuất các phiên đáng ngờ.
2. Bật xác thực hai yếu tố
Sau khi đăng nhập Twitter, vào More -> Settings and privacy -> Account -> Security -> Two-factor authentication để bật xác thực hai yếu tố. Các phương pháp xác thực bao gồm tin nhắn SMS, ứng dụng Google Authenticator hoặc khóa bảo mật dạng vật lý. Việc sử dụng xác thực hai yếu tố có thể ngăn chặn hacker đánh cắp tài khoản ngay cả khi họ có được tên đăng nhập và mật khẩu.

Kế hoạch thưởng lỗ hổng vô hiệu?
Thiếu đầu tư vào an ninh
Twitter có chương trình thưởng tìm lỗ hổng trên nền tảng HackerOne (https://hackerone.com/twitter). Có người chỉ ra rằng Twitter chỉ thưởng 7.700 đô la Mỹ cho các lỗ hổng dạng “chiếm quyền tài khoản” (Account takeover), trong khi hacker đã lợi dụng loại lỗ hổng này để chiếm đoạt hơn 100.000 đô la Mỹ. Sự so sánh này thật đáng suy ngẫm.
Với một công ty, an ninh thường bị coi là không quan trọng khi chưa bị tấn công, dẫn đến thiếu đầu tư về tài chính. Nhưng một khi thực sự bị tấn công, tổn thất gây ra là không thể đo đếm được.
Ở đây, CertiK muốn nhắc nhở mọi người rằng, ngay cả một nền tảng mạnh mẽ như Twitter cũng có thể bị tấn công. Vì vậy, đừng quá tin tưởng vào bất kỳ dự án nào với mức độ an toàn 100%. Chỉ cần tồn tại khả năng bị tấn công dù chỉ 0,00000000000001%, theo định luật Murphy, thì nó chắc chắn sẽ xảy ra. Do đó, việc đầu tư vào an ninh là điều bắt buộc. CertiK với tư cách là chuyên gia an ninh blockchain hàng đầu thế giới, chính là để giúp bạn tìm ra điểm yếu 0,00000000000001% đó và loại bỏ nó. Nếu dự án của bạn có nhu cầu, vui lòng gửi email đến [email protected] để được tư vấn.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News














