Chỉ với thủ thuật nhỏ, tin tặc có thể chiếm được tài khoản iCloud

June 26, 2021

Apple luôn được đánh giá cao về vấn đề bảo mật, nhất là tài khoản iCloud nơi lưu trữ rất nhiều thông tin cá nhân của người dùng. Tuy nhiên hệ thống bảo mật tối tân đến đâu đôi khi lại bị vượt qua chỉ với một chút tinh ranh, một chút thủ thuật và chờ đợi con mồi sặp bẫy.

Vào tháng sau năm 2020, nhà nghiên cứu Laxman Muthiyah phát hiện ra rằng tin tặc có thể gửi yêu cầu reset lại mật khẩu nhiều hơn 5 lần cho một tài khoản iCloud. Cần phải biết rằng nếu bạn gửi đề nghị thay đổi mật khẩu quá 5 lần thì iCloud sẽ tự động TẠM KHOÁ trong vòng vài tiếng đồng hồ. Thủ thuật thật ra rất là đơn giản, chỉ việc dùng nhiều IP khác nhau gửi request là được. Lúc này nếu như nạn nhân bị câu dẫn thì bạn sẽ có được mã xác thực để cài đặt lại mật khẩu.

Ban đầu, Apple không chấp nhận đây là một rủi ro vì nếu người dùng từng đăng nhập tài khoản trên 2 thiết bị bất kỳ của Apple (iPhone, iPad, iMac, Macbook v.v..) đều sẽ không bị dẫn dụ do Keychain của hệ thống sẽ ưu tiên gửi mã xác thực trên thiết bị còn lại. Hơn nữa, việc có được 28.000 địa chỉ IP để gửi hơn 1 triệu yêu cầu có vẽ hơi bất khả thi. Tuy rằng không công bố thực tế nhưng 1 năm sau đó, Apple đã chấp nhận thủ thuật mà Laxman Muthiyah là có tính khả thi cao và đã sửa lỗi trong bản cập nhật tháng 4 năm 2021.

Điều này cho chúng ta thấy rằng việc quá tin tưởng vào hệ thống hay mức độ bảo mật của dịch vụ để mất đi tính cảnh giác là rất nguy hiểm. Tin tặc đôi khi không cần phải quá giỏi hoặc quá thiên tài gõ phím như bay hack văng hệ thống như phim ảnh mới có thể lấy được tài khoản của bạn, đôi khi chỉ vài thủ thuật nhỏ và thêm chút may mắn và ít sự lơi là của bạn là đủ để biến bạn thành nạn nhân rồi. Tốt nhất là bạn hãy vẫn nâng cao cảnh giác và luôn nâng cao ý thức bảo mật của mình.

BTV DSH