Trên blog cá nhân của mình, Nguyễn Ngọc Long – quản trị trang nhacso.net - lên tiếng cảnh báo về một lỗi nguy hiểm của hệ thống blog thông dụng nhất tại Việt Nam khiến hàng triệu người sử dụng Yahoo! dễ dàng bị ăn cắp thông tin đăng nhập.

Hacker có thể lợi dụng lỗi này để ăn cắp thông tin cá nhân hoặc thậm chí là tài khoản truy cập (tên đăng nhập và mật khẩu) của người sử dụng blog trên Yahoo! 3600. Do đặc thù dịch vụ của Yahoo! sử dụng chung một tài khoản đăng nhập nên lỗi này sẽ tác động đến hàng triệu tài khoản của Yahoo! trên khắp thế giới ở tất cả các dịch vụ thông dụng như email, chat,  messenger, blog hay small business...

"Thông thường, các lập trình viên sẽ chặn và loại bỏ các đoạn mã hiểm độc với các dữ liệu do người dùng gửi tới. Nhưng ở đây, Yahoo! đã mắc phải lỗi sơ đẳng và không đáng có, là "bỏ quên  việc kiểm tra các đoạn mã JavaScript. Hacker có thể lợi dụng điểm yếu này để chèn một đoạn mã không mong muốn vào nội dung tin nhắn trên blog (mailbox). Ngay khi bạn mở xem tin nhắn thì đoạn mã giấu bên trong sẽ được tự động kích hoạt chạy, nó có thể đánh cắp thông tin cá nhân của bạn (cookie) để gửi về cho hacker. Nó cũng có thể đánh lừa bạn bằng cách chuyển tiếp qua một trang yêu cầu đăng nhập của Yahoo!, nhưng thực chất là trang web giả mạo do hacker lập sẵn. Khi này, nếu bạn nhập vào thông tin tên truy cập và mật khẩu, thì ngay lập tức, các thông tin này sẽ được gửi vào hộp thư của hacker",ông Long viết.

Được biết, quản trị trang nhacso.net đã thông báo về lỗi nguy hiểm này cho đội ngũ phát triển Yahoo! 3600 nhưng chưa thấy phản hồi. Trong khi chờ đợi thông tin chính thức từ Yahoo!, ông Nguyễn Ngọc Long cho rằng các blogger có thể tự bảo vệ mình bằng các biện pháp: Tạm tắt tính năng JavaScript trong trình duyệt. Không xem bất cứ tin nhắn cá nhân nào được gửi qua blog (việc này rất quan trọng, vì đa số người dùng có thói quen thiết lập chế độ thông báo qua Yahoo! Messenger; khi có tin nhắn mới, Yahoo! sẽ hiển thị hộp thông báo kèm theo đường liên kết, nếu người sử dụng nhấn vào liên kết này thì thông tin cá nhân sẽ bị ăn cắp ngay lập tức). Chỉ nhập tên truy cập và mật khẩu vào đúng trang đăng nhập của Yahoo! có địa chỉ xuất phát là http://login.yahoo....hay https://login.yahoo... "Tốt hơn hết là tạm ngưng dùng blog trong thời gian này"- ông Long cho biết.

Đây không phải lần đầu tiên Long phát hiện ra lỗ hổng bảo mật của Yahoo! Trước đó khoảng một năm, vào ngày 3-3-2007, một lỗi bảo mật nguy hiểm của Yahoo! 360 là CFRS cũng được quản trị viên này phát hiện. Đại diện Yahoo! châu Á ngay sau đó đã lên tiếng xác nhận thông tin và tiến hành bít lỗi.

(Theo NLĐ)

(Theo VnMedia)