Tin tặc tấn công người dùng Firefox bằng cách đánh cắp thông tin bảo mật từ Bugzilla

Chương trình theo dõi lỗ hổng của Mozilla bị tấn công bởi tin tặc nhằm đánh cắp dữ liệu người dùng. Mozilla Foundation xác nhận vào thứ sáu vừa qua hệ thống theo dõi bug “Bugzilla” đã bị tin tặc khai thác thông qua trình duyệt, có thể đánh cắp dữ liệu về lỗ hổng zero-day.

Mozilla phỏng đoán rằng tin tặc đã biết những lỗ hổng zero-day chưa được vá trong trình duyệt Firefox một năm trở lại đây. Tin tặc có thể xâm nhập tài khoản người dùng có đặc quyền truy cập vào Bugzilla, bao gồm cả những lỗ hổng zero-day chưa được công bố.

“Có một vài dấu hiệu cho thấy tin tặc đã truy cập từ tháng 9 năm 2013” – Đồng nghĩa là tin tặc đã có hơn 11 tháng khai thác các lỗ hổng. 185 lỗ hổng bí mật chưa được công bố với 53 lỗ hổng “nghiêm trọng”. Vào thời điểm hiện tại, 43 lỗ hổng trong số đó đã được vá trên Firefox. Tuy nhiên, nguy cơ vẫn nằm trong 10 lỗ hổng còn lại.

Vấn đề nằm ở chỗ, người dùng sử dụng lại mật khẩu trên nhiều website khác nhau. Khi tin tặc đã thu thập được mật khẩu này, chúng sẽ sử dụng để tấn công các tài khoản Google, Facebook, … Bugzilla đã được cập nhật để giảm thiểu nguy cơ các cuộc tấn công trong tương lai. Tất cả người dùng có quyền truy cập đến dữ liệu nhạy cảm cần phải thay đổi mật khẩu và xác thực hai nhân tố ngay lập tức.

Phiên bản Firefox mới nhất phát hành tuần trước đã sửa chữa vấn đề truy cập của tin tặc.

techworm