Thứ tư, 13/09/2023, 15:41 (GMT + 7)

Vụ hack hoán đổi sim Vitalik Buterin làm lộ lỗ hổng bảo mật tài khoản Twitter Blue

Hiện tại, nhà sáng lập Ethereum đã chuyển sang sử dụng một trang mạng xã hội mới và không tiết lộ bao giờ mới quay trở lại với X (Twitter).

Trong bài đăng trên trang cá nhân Warpcast vào ngày 11/09 vừa qua, người đồng sáng lập Ethereum Vitalik Buterin xác nhận tài khoản X của mình đã bị xâm phạm thông qua một cuộc tấn công hoán đổi SIM.

Cuộc tấn công hoán đổi sim là một kế hoạch khai thác lỗ hổng trong các phương thức xác thực hai yếu tố cụ thể, trong đó cuộc gọi điện thoại hoặc tin nhắn văn bản đóng vai trò là bước xác thực thứ hai.

Phương pháp này cho phép kẻ tấn công truy cập vào tin nhắn văn bản, email, danh sách liên hệ, tài khoản ngân hàng, hồ sơ mạng xã hội cũng như các dữ liệu riêng tư và nhạy cảm khác của nạn nhân.

Trong bài đăng của mình, Buterin cho biết đã thêm số điện thoại di động của mình vào nền tảng mạng xã hội khi đăng ký Twitter Blue, đồng thời giải thích rằng cá nhân mình không biết số điện thoại đủ để đặt lại mật khẩu tài khoản Twitter ngay cả khi không được sử dụng làm xác thực hai yếu tố.

“Số điện thoại đủ để đặt lại mật khẩu tài khoản Twitter ngay cả khi không được sử dụng làm 2FA. […] Tôi đã từng thấy ai đó nói rằng “số điện thoại không an toàn, đừng xác thực với chúng” trước đây nhưng không nhận ra điều này.”

Đáng chú ý, sau sự cố này, Buterin cho hay đã tham gia Farcaster, một giao thức truyền thông xã hội phi tập trung cho phép người dùng khôi phục tài khoản của họ thông qua địa chỉ Ethereum. Warpcast được xây dựng trên giao thức này.

Được biết, vào ngày 09/09 trước đó, tài khoản X của Buterin đã bị một tin tặc chiếm quyền kiểm soát và sử dụng để quảng bá một liên kết lừa đảo nhằm đánh cắp tài sản kỹ thuật số, bao gồm cả các token không thể thay thế (NFT) từ các ví tương tác với nó. Vụ việc đã gây thiệt hại khoảng 700.000 USD.

Sau vụ hack, Giám đốc điều hành Binance Changpeng Zhao kêu gọi cộng đồng tiền điện tử thận trọng khi đọc các bài đăng trên mạng xã hội và khuyên nền tảng này nên giới thiệu nhiều tính năng bảo mật hơn.

“Bảo mật tài khoản của Twitter không được thiết kế như nền tảng tài chính. Nó cần nhiều tính năng hơn: 2FA, id đăng nhập phải khác với địa chỉ email hoặc email, v.v.”

Vitalik's Twitter account got hacked. Use common sense when reading content on social media, even from large KOLs.

Twitter's account security is not designed as financial platforms. It needs quite a bit more features: 2FA, login id should be different from handle or email, etc.… pic.twitter.com/oYQch8r2H0
— CZ 🔶 Binance (@cz_binance) September 10, 2023