[tritinh]

Hệ thống quảng cáo SangNhuong.com

Khoảng 60 người dùng dịch vụ e-mail này vừa thông báo bị mất danh sách liên lạc trong hòm thư, gây ra tình trạng hoang mang trong cộng đồng sử dụng. Vấn đề này nằm ở chỗ các tài khoản Gmail được lưu trong một tập tin JavaScript, rất dễ bị lợi dụng.

"Lỗi trong định dạng trao đổi dữ liệu JavaScript Object Notation có thể bị khai thác để trình bày mọi thông tin", Heather Adkins, một giám đốc bảo mật tại Google, cho hay. "Nhưng chúng tôi được biết hiện chưa có thiệt hại gì xảy ra".

Mặc dù Google đã sửa lỗi nhưng giới tin học vẫn hoài nghi về sự an toàn của dịch vụ e-mail phổ biến thứ 3 trên thế giới. Lỗ hổng này đã giúp cho tin tặc tạo ra một trang web giả có thể copy mọi địa chỉ liên lạc trong hòm thư Gmail của người sử dụng. Kẻ xấu sẽ lấy cắp rồi gửi spam hoặc bán dữ liệu cho những bên có nhu cầu.

Điều đáng nói là lỗi này đã được phát hiện từ một năm trước mà vẫn chưa được sửa hoàn chỉnh. Jeremiah Grossman, chủ tịch Hội hacker mũ trắng của Mỹ, đã thử nghiệm và cảnh báo lỗ hổng này. Anh chèn một đoạn code vào máy chủ của Gmail. Khi có bất kỳ tài khoản nào đăng nhập vào trình duyệt, đoạn mã sẽ lấy thông tin và báo về cho anh ngay trên màn hình.

"Một đoạn mã nhỏ có thể khiến cho trình duyệt web tự động gửi yêu cầu HTTP ngoài domain cho Gmail", Jeremiah cho biết. "Nếu nạn nhân đăng nhập vào tài khoản, cookies của phiên truy cập sẽ được gửi về cùng với danh sách tài khoản có trong hòm thư của họ".


Một đoạn bài viết kiểm tra thử nghiệm của Jeremiah Grossman. Danh sách tài khoản báo về hiện ở màn hình bên phải nhưng đã được bôi đen. Ảnh: Blogger.

Hiện giới tin học khuyến cáo:

- Không nên đặt dữ liệu nhạy cảm vào tập tin JavaScript, gắn các đuôi HTML cho dữ liệu này để bảo vệ chúng.

- Nếu buộc phải chứa dữ liệu quan trọng trong các tập tin JavaScript, cần làm cho đường dẫn URL trở nên phức tạp, không thể đoán định được.

- Đảm bảo các file không thể bị truy cập từ bất kỳ đâu bằng chỉ dẫn ngoài domain.

- Khi duyệt Gmail, người dùng nên tắt các chức năng JavaScript trên trình duyệt đang sử dụng (vào Tools > Internet Options > thẻ Advanced > bỏ dấu chọn ở mục Java/Sun) hoặc đưa trang gmail.com vào mục Trusted Sites.