4.jpg

BitDefender cho biết, tội phạm mạng lợi dụng lỗi này để chèn một siêu liên kết vốn được kích hoạt với một sự kiện JavaScript OnMouse (lỗi liên quan đến hoạt động của con chuột máy tính). Loại sự kiện này không yêu cầu người dùng nhấp vào liên kết tweeted, thay vào đó, nó được kích hoạt khi người dùng di con trỏ chuột lên liên kết.

Theo bộ phận an ninh dữ liệu toàn cầu BitDefender, tính tới thời điểm hiện tại, hơn 2.000 tin nhắn thử nghiệm với các lỗ hổng này đã được đưa lên Twitter, từ các JavaScript sạch đến các XSS tinh vi chuyên ăn cắp cookie từ trình duyệt của nạn nhân.

1.jpg

Twitter đã loại bỏ hầu hết các tweets có chứa các lỗ hổng, nhưng chúng vẫn còn được lưu trữ trong các công cụ tìm kiếm của mạng xã hội này, nằm vùng và chờ đợi thời cơ.

Tuy Twitter đã thông báo rộng rãi tới cộng đồng người dùng và vá các lỗi này, nhưng một trong những liên kết độc hại vẫn còn rơi rớt lại, được sử dụng để lừa những người cả tin. Nội dung lừa đảo thật “giả dối”, đó là hướng dẫn các nạn nhân cách… chống lại các lỗ hổng zero-day. Có vẻ như tin nhắn được gửi bởi chính các nạn nhân cũ của lỗ hổng zero-day.

2.jpg

Khi người dùng click vào liên kết này thì lại được chuyển đến một trang web yêu cầu họ điền vào các bản điều tra trước khi được cho phép truy cập vào các tài liệu hướng dẫn. Đây chính là “cửa” để hacker đột nhập vào kho thông tin cá nhân của người dùng, thông qua những thông tin cung cấp trong bản điều tra giả mạo này.

3.jpg

Zero-day là thuật ngữ chỉ một tập hợp vô số những lỗ hổng chưa được công bố hoặc bị phát hiện mà chưa thể khắc phục. Lợi dụng những lỗ hổng này, tội phạm mạng có thể xâm nhập được vào hệ thống máy tính của các doanh nghiệp, tập đoàn để đánh cắp hay thay đổi dữ liệu. Hệ quả là có cả một thị trường chợ đen giao dịch, mua bán lỗ hổng zero-day hết sức nhộn nhịp trên mạng Internet.

Tuổi thọ trung bình của một lỗ hổng zero-day là 348 ngày trước khi nó được phát hiện ra hoặc vá lại. Nhiều lỗ hổng thậm chí còn sống "thọ" hơn thế. Tội phạm mạng sẵn sàng trả khoản tiền rất lớn để mua lại các lỗ hổng zero-day, từ đó tấn công trên quy mô lớn và thu về những thông tin đáng “đồng tiền bát gạo”.

Chính vì thế, sự kiện người dùng Twitter bị chuyển thẳng đến web sex, trong đó có cả vợ của cựu thủ tướng Anh Sarah Brown là một nạn nhân, không phải là câu chuyện “trò đùa vô hại” như nhiều hãng bảo mật từng tuyên bố. Vì một khi những lỗ hổng đó còn tồn tại, an toàn trên Internet của những người dùng Twitter còn có thể gặp nguy hiểm. BitDefender hiện đang nghiên cứu sâu hơn về các nguy cơ tiềm năng này để tư vấn cho mạng xã hội trẻ tuổi Twitter.