Vụ việc lộ mã nguồn từ phía BKAV chưa kịp lắng xuống, thì phía hacker lại tung thông tin có thể hack được tài khoản nạn nhân chỉ bằng 1 click trên ứng dụng chat phổ biến hiện nay.
Hiện tại, trên diễn đàn hội tụ hacker R***forums đang xuất hiện các bài đăng về việc mua bán dữ liệu, công cụ khai thác lỗ hổng phần mềm của các doanh nghiệp công nghệ lớn tại Việt Nam.
Sau vụ việc đăng bán mã nguồn của phần mềm diệt virus của BKAV với giá trị lên đến hàng trăm nghìn đô la bằng tiền ảo XMR từ tài khoản chunx*** thì nay lại xuất hiện một tài khoản khác tên ilove*** đang rao bán công cụ khai thác lỗ hổng, có thể nói đây là lỗ hổng gây “thương tích” nghiêm trọng đối với ứng dụng Zalo.
Bài đăng rao bán lỗ hổng Zero-day của hacker trên diễn đàn
Theo như cách hướng dẫn của tài khoản ilove***, thì người này đã phát hiện ra một lỗ hổng Zero-day (lỗ hổng chưa từng được công bố), và tác dụng của lỗ hỏng này là giúp bất kì ai cũng có thể hack tài khoản Zalo hoặc Zalo Pay chỉ cần 1 cái click của nạn nhân. Việc chiếm đoạt tài khoản vô cùng đơn giản, chỉ cần gửi cho nạn nhân 1 đường link, khi nạn nhân click vào dù không thực hiện thêm bất kì thao tác nào khác thì ngay lập tức cũng đã bị chiếm quyền kiểm soát tài khoản.
Để chứng minh độ tin cậy, tài khoản hacker ilove*** cũng cho biết sẽ gửi thêm một đoạn video thực tế thực hiện cách chiếm đoạt tài khoản Zalo của nạn nhân cho khách hàng xem trước khi quyết định giao dịch. Và hacker này chỉ giao dịch bằng tiền ảo đồng thời cũng tuyên bố chỉ trao đổi công cụ khai thác này với người có thiện chí mua.
Tuy nhiên, bên dưới bài đăng, tài khoản hacker cũng không cung cấp thêm thông tin nào có giá trị hơn nữa về lổ hổng Zero-day, có lẽ nếu công bố nhiều hơn thì đổi ngũ phát triển ứng dụng Zalo của VNG sẽ can thiệp và sửa chữa. Hacker còn nhắn đến khách hàng của mình thông tin sau: “Tôi biết các kỹ sư bảo mật của VNG rất giỏi. Họ vừa quét tìm lỗ hổng chưa ra, nhưng tôi không nghĩ họ mãi thất bại trong quá trình tìm cách sửa lỗi này.”
Phía hacker này cũng kêu gọi những chuyên gia bảo mật hãy thử khám phá tìm ra lỗ hổng, biết đâu sẽ phát hiện ra. Ngoài ra, hacker cũng rất chăm chỉ trả lời bình luận với các thành viên rằng: “Tôi yêu VNG và cũng yêu tiền. Tôi nghĩ việc bán lỗ hổng 0-day này vào thời điểm hiện tại là hợp lý. Vì một số người bạn Việt Nam nói với tôi rằng, ở Việt Nam, nhiều cơ quan, tổ chức chính phủ đang sử dụng Zalo như một phương tiện thông báo chính thức trong đợt dịch COVID-19.”
Cũng có rất nhiều bình luận trái chiều khác trong việc rao bán này, vì một số người cho rằng đây là công cụ cũ, không đáng để mua, hoặc cũng không mang đến giá trị gì khác. Thế nhưng, mọi người lại càng tò mò hơn về danh tính của vị hacker thân thiện này. Và phía Zalo cũng chưa có phát ngôn nào lên tiếng về vụ việc này.
BIÊN TẬP VIÊN - DIỄM TRANG
Chủ đề Hot
Viết bình luận
Bình luận
Hiện tại bài viết này chưa có bình luận.