Một nhà nghiên cứu bảo mật vừa phát hiện một lỗi trên trang đăng nhập của Google, có thể cho phép hacker dễ dàng đánh cắp mật khẩu của người dùng. Trong khi đó, Google có vẻ không nôn nóng vá lỗi này.
Trong một bài viết mới đăng tải trên website cá nhân, nhà nghiên cứu Aidan Woods đã viết về phát hiện trên của mình cũng như thái độ dửng dưng của đội ngũ bảo mật Google khi ông liên lạc và thông báo cho họ biết vấn đề. "Tôi hy vọng, tiết lộ công khai của mình sẽ khuyến khích Google hành xử khác đi", ông Woods nhấn mạnh.
Theo chuyên gia Woods, ông phát hiện thấy rằng, trang đăng nhập của Google cho phép chèn thêm một đoạn tham biến có tên gọi là "continue", có thể tái điều hướng người dùng tới bất kỳ URL nào nếu nó bắt đầu bằng google.com.
Ví dụ, việc thêm "?continue=http://www.google.com/amp/businessinsider.com" vào URL đăng nhập sẽ đưa bạn tới một màn hình đăng nhập Google thực sự. Tiếp đó, sau khi bạn nhập tên người dùng và mật khẩu, nó sẽ đưa bạn tới trang chủ của Business Insider. Và điều đó có thể dẫn đến rủi ro lớn.
Ông Woods giải thích, hacker có thể tái điều hướng ai đó tới một trang giả mạo Google để thu thập các thông tin cá nhân hoặc khiến họ tự động download một tệp tin độc hại đã được đăng tải lên Google Drive. Ngoài ra, hacker có thể tái điều hướng người dùng tới một website do chúng kiểm soát, nhưng được thiết kế trông giống hệt màn hình đăng nhập của Google kèm thông báo "Mật khẩu không đúng, đề nghị thử lại" để lừa người dùng cung cấp mật khẩu của họ.
Đây là một thủ đoạn giả mạo (phishing scam) kinh điển, về cơ bản sử dụng Google.com để tấn công nạn nhân. Việc giả mạo email, trong đó hacker gửi một email hướng ai đó download các tệp tin độc hại hoặc kích vào một đường link nào đó, hiện là phương pháp tấn công được các tội phạm công nghệ cao sử dụng nhiều nhất. Lí do vì nó khá đơn giản và hiệu quả, và việc sử dụng trang đăng nhập của Google thậm chí còn tạo điều kiện thuận lợi hơn cho thủ đoạn này.
Khi được hỏi ý kiến về sự việc, một phát ngôn viên của Google phản hồi như sau: "Cũng giống như nhiều dịch vụ dựa vào tài khoản, chúng tôi cho phép các việc tái điều hướng, một phần để cung cấp trải nghiệm đăng nhập đơn giản khắp các trang, tránh xung đột không cần thiết. Trong trường hợp của chúng tôi, người dùng có thể tìm tới một trang, nơi họ có thể đăng nhập bằng thông tin cá nhân trên Google, truy cập vào tài khoản của họ và cuối cùng được tái điều hướng trở lại cùng trang họ đã có mặt ban đầu. Song song với đó, chúng tôi không ngừng cố gắng bảo vệ người dùng trước sự giả mạo và các nguy cơ mất an toàn khác bằng vô số biện pháp bảo mật, kể cả tiện ích Safe Browsing, xác thực 2 yếu tố, ...".
Dẫu vậy, mọi người dùng được khuyến cáo nên cẩn trọng khi nhận được yêu cầu tái nhập mật khẩu của họ. Nếu được yêu cầu cung cấp lại mật khẩu hoặc thông tin cá nhân khác, bạn nên kiểm tra kỹ lưỡng URL và bảo đảm nó thuộc google.com. Nếu không, có khả năng là bạn đang phải đối mặt với một cuộc tấn công của hacker.
Tuấn Anh (theo BI)