Tin tặc cài đặt Backdoor đánh cắp mật khẩu Facebook

Hack facebook như thế nào là một câu hỏi phổ biến hiện nay. Mới đây tin tặc đã xâm nhập vào hệ thống máy chủ, cài đặt backdoor nhằm đánh cắp thông tin mật khẩu của nhân viên Facebook.

Đội ngũ bảo mật của Facebook đã phát hiện ra đoạn mã backdoor trong khi tìm kiếm lỗ hổng trên Facebook. Do lỗ hổng nằm trong máy chủ của tập đoàn Facebook, không phải là máy chủ chính, nên tài khoản của người dùng Facebook không bị ảnh hưởng bởi sự cố này.

Chuyên gia nghiên cứu bảo mật Orange Tsai đã tình cờ phát hiện một đoạn mã backdoor khi quét địa chỉ IP của Facebook. Ông nhận thấy tên miền files.fb.com lưu trữ ứng dụng  Secure File Transfer (chương trình truyền tải tệp tin an toàn) phiên bản cũ. Đây là ứng dụng được tạo bởi Accellion và được dùng bởi nhân viên Facebook để chia sẻ tệp tin.

Tsai đã phát hiện và phân tích 7 lỗ hổng bảo mật bao gồm:

• 3 lỗ hổng Cross-site scripting (XSS),
• 2 lỗ hổng thực thi mã từ xa,
• 2 lỗ hổng tấn công vượt quyền

Sử dụng SQL Injection nhằm viết Webshell

PHP error log

Người dùng có thể xem chi tiết bài phân tích tại đây.

Sau khi truy cập được vào máy chủ Facebook, Tsai đã bắt đầu phân tích thông tin trong tệp tin logs phục vụ cho mục đích báo cáo. Và đây là thời điểm ông nhận ra một PHP Web shell, đã được cài đặt trước đó bởi tin tặc độc hại. Tsai đã báo cáo toàn bộ phát hiện đến đội ngũ bảo mật Facebook và nhận được 10,000 đôla tiền thưởng.

THN