Tin tặc có thể truy cập Dropbox, Google Drive, OneDrive mà không cần mật khẩu người dùng

Hacker giờ không cần đến mật khẩu của bạn để truy cập vào dữ liệu đám mây. Nghiên cứu mới nhất của công ty Imperva phát hành tại hội nghị bảo mật Black Hat đang diễn ra tại Las Vegas cho thấy cách một cuộc tấn công “man-in-the-cloud” lấy cắp file của bạn cũng như lây nhiễm malware mà người dùng không hề hay biết.

“man-in-the-cloud” khác hẳn với cuộc tấn công “man-in-the-middle” truyền thống vốn phụ thuộc vào can thiệp kết nối giữa hai máy chủ hoặc người dùng. “man-in-the-cloud” khai thác một lỗ hổng trong thiết kế của rất nhiều hệ thống đồng bộ file của các hãng Google, Box, Microsoft và dịch vụ Dropbox.

Đây không phải là vấn đề của riêng khách hàng nhỏ lẻ, các doanh nghiệp đang gia tăng nhanh chóng dịch vụ trên nền đám mây để chia sẻ dữ liệu nhạy cảm.  Tin tặc lợi dụng passwork token, một file nhỏ nằm trên thiết bị người dùng (lưu trữ người dùng mỗi khi nhập mật khẩu). Sau khi lấy được token, thông qua tấn công lừa đảo hoặc khai thác drive-by, tin tặc sử dụng nó để một thiết bị khác nghĩ rằng chủ tài khoản đang truy cập. Từ đó, tin tặc có thể truy cập và đánh cắp file, thậm chí tải malware hoặc ransomware lên thư mục cloud của nạn nhân.

Điều tồi tệ là chủ tài khoản điện toán đám mây hầu như không có cách nào kiểm soát. Do token luôn đi kèm với thiết bị của họ, thay đổi mật khẩu không thể thoát khỏi tin tặc. Mặc dù các dịch vụ luôn cung cấp xác thực hai nhân tố và thông báo khi phát hiện truy cập trái phép nhưng rất nhiều người dùng bỏ qua chúng.

zdnet