Hacker khai thác lỗ hổng Zing Mp3, biến tài khoản thường thành vip
(Dân trí) - Liên tiếp gần đây, nhiều bài viết chia sẻ về cách hack tài khoản nghe nhạc của Zing Mp3 để có thể sử dụng tất cả các tính năng và không mất đồng phí nào. Tuy nhiên, đằng sau đó là những hoài nghi và người tiêu dùng cần lưu ý, tránh việc đánh cắp thông tin.
Ứng dụng Zing Mp3 vừa tung ra bản cập mới vào tháng 4 vừa qua, chuyển đổi tất cả các tài khoản Zing ID sang tài khoản Zalo. Trong việc chuyển đổi lần này có lẽ đã xuất hiện lỗ hổng, khiến cho các hacker có thể khai thác và thay đổi thông tin.
Cụ thể, một số bài viết chia sẻ trên internet gần đây cho biết, người dùng có thể hack tài khoản Zing Mp3 thường thành Zing Mp3 Vip sử dụng trong vòng 10 năm một cách dễ dàng. Chỉ với thao tác theo hướng dẫn trên, người dùng nào cũng đều có thể làm được chỉ trong vài nốt nhạc.
Đáng chú ý, hacker không hack trực tiếp vào ứng dụng trên hệ thống của Zing Mp3 mà tạo ra một phiên bản ứng dụng Zing Mp3 hoàn toàn khác mang tên Zing Mp3++. Đòi hỏi người dùng phải truy cập vào trang web khác không thuộc chủ sở hữu VNG và tải về. Sau đó yêu cầu người dùng đăng nhập tài khoản để sử dụng và đồng ý một số điều khoản cũng như thiết lập cấu hình của thiết bị. Như vậy có thể thấy, hacker đã khai thác được thông qua hệ thống đăng nhập của Zing Mp3. Tuy nhiên, phương thức tấn công này vẫn chưa được làm rõ.
Theo ông Võ Đỗ Thắng, giám đốc an ninh mạng công ty Athena cho biết: "Việc làm này là bình thường trong khi nghiên cứu bảo mật bởi các nhóm nguyên cứu bảo mật thường tìm hiểu và bẻ khóa các ứng dụng".
Ông Thắng cho rằng, chuyện khai thác lỗ hổng, rồi chia sẻ nhau là bình thường. Còn chuyện khuyến khích hay không đó là sở thích của người tham gia. Đây là một thế giới khác, rất nhiều lỗ hổng của các ứng dụng, họ khai thác được nhưng không chia sẻ thì lỗ hổng cứ tồn tại và họ cứ khai thác. Nhưng tùy mục đích của việc khai thác và chia sẻ như thế nào thì hoàn toàn khác, tùy những người chia sẻ.
Tuy nhiên, đối với người dùng, ông Thắng đưa lời khuyên, đa phần nạn nhân là người dùng, không có kiến thức an ninh mạng ở mức cơ bản nên rất dễ bị sập bẫy. Việc sập bẫy có thể khiến người dùng mất đi thông tin tài khoản, thông tin mật được lưu trữ... Do đó, cần trang bị kiến thức về an ninh mạng ở mức cơ bản, để có thể biết được các biến thể mã độc.
Bên cạnh đó, một lời khuyên mà rất nhiều chuyên gia đã từng đưa ra trước đây rằng, người dùng không nên đồng ý và tải về các ứng dụng không rõ nguồn gốc. Điều này có thể khiến cho bạn trở thành nạn nhân của các tin tặc.
Trong năm 2016 và nửa đầu năm 2017, rất nhiều báo cáo bảo mật từ các hãng danh tiếng đã chỉ ra rằng, nhiều biến thể virus nguy hiểm đã xuất hiện trên mobile. Chẳng hạn như Trojan Triada - một trong những trojan nguy hiểm nhất từng thấy trên mobile. Trojan này nhắm vào thiết bị Android, nó có thể xâm nhập sâu vào hệ thống trên Android và kiểm soát các tập tin quan trọng. Từ đó, chúng có thể thu thập dữ liệu trên thiết bị và sau đó chuyển dữ liệu về máy chủ C&C (Command & Control Server) để tạo ra một hồ sơ riêng cho nạn nhân. Các trojan này thu thập rất nhiều thông tin, từ lịch sử cuộc gọi, tin nhắn và những "bí mật" chỉ có trên chiếc smartphone của người dùng.
Hiện tại, ứng dụng Zing Mp3++ mà các hacker tạo ra chưa có bất cứ sự phàn nàn hay việc rò rỉ thông tin. Tuy nhiên, cẩn thận vẫn là điều tốt nhất và người dùng nên tự bảo vệ mình trước khi quá muộn.
Dân trí đang liên hệ với đại diện truyền thông của VNG để tìm hiểu rõ về lỗ hổng trên.
Gia Hưng