32 triệu tài khoản Yahoo bị hack không cần mật khẩu

Yahoo vừa công bố một thông tin gây sốc, tiết lộ việc có tới 32 triệu tài khoản người dùng dịch vụ của công ty bị hacker "viếng thăm" trong 2 năm qua, bằng một thủ thuận tấn công không cần mật khẩu.

32 triệu tài khoản Yahoo bị hack không cần mật khẩu

Trong một báo cáo thường niên gửi Ủy ban chứng khoán và hối đoái Mỹ (SEC) hôm 1/3, Yahoo cho biết, hacker đã dùng các cookie (các tập tin do website bạn đã truy cập tạo nên để lưu trữ thông tin duyệt web) giả để truy nhập vào 32 triệu tài khoản Yahoo mà không cần mật khẩu.

Yahoo cho rằng thủ phạm gây ra sự cố nghiêm trọng này cũng chính là "kẻ được cấp chính phủ hậu thuẫn", đứng sau một vụ tấn công riêng rẽ khác năm 2014, đánh cắp thông tin cá nhân của khoảng 500 triệu tài khoản người dùng của hãng bị đánh cắp.

"Dựa vào điều tra, chúng tôi tin một bên thứ ba đã truy cập trái phép vào mã thuộc sở hữu của Yahoo để biết cách giả lập một số cookie nhất định như thế nào. Công ty hiện đã vô hiệu hóa các cookie này để ngăn chặn việc tiếp tục lạm dụng những tài khoản bị hack", trích báo cáo của Yahoo.

 

Yahoo đã công vụ tấn công bằng cookie giả mạo nói trên hồi tháng 12 năm ngoái. Tuy nhiên, thông tin này gần như không được chú ý do cùng thời điểm, công ty cũng hé lộ việc đã nhận diện được một lỗ hổng bảo mật nghiêm trọng khác, xảy ra vào năm 2013. Trong sự cố cách đây gần 4 năm, các hacker đã đánh cắp thông tin của 1 tỉ tài khoản Yahoo.

Cùng ngày quy mô của vụ rò rỉ thông tin vì cookie giả mạo được hé lộ, tổng giám đốc điều hành Yahoo Marissa Mayer tuyên bố, bà sẽ không nhận tiền thưởng hàng năm cũng như bất kỳ khoản cổ tức năm 2017 nào trước các kết luận điều tra của công ty về những sự cố kiểu này. Ronald Bell, trưởng ban cố vấn và thư ký của Yahoo, cũng từ chức hôm 1/3 sau khi công ty thừa nhận, các lãnh đạo cấp cao cùng đội ngũ pháp lý của Yahoo đã không theo đuổi giải quyết các sự cố bảo mật một cách thích đáng.

Yahoo hiện từ chối bình luận thêm về các diễn biến mới, ngoài những kết luận đã ghi trong báo cáo đệ trình lên SEC.

Tuấn Anh (theo CNET)

 
 
 

Tin liên quan